Inganno DNS: come ClickFix sta trasformando comandi quotidiani in gateway per malware
Sottotitolo: Gli attaccanti sfruttano uno strumento Windows considerato affidabile per distribuire di nascosto ModeloRAT, dimostrando che anche i comandi più basilari possono essere trasformati in armi.
Immagina questa scena: stai navigando sul web, cercando di dimostrare di non essere un robot, quando una pagina ti invita a copiare e incollare nel computer un comando dall’aspetto tecnico. Sembra una procedura di routine, forse persino necessaria per risolvere un presunto problema. Ma dietro questa facciata si nasconde una nuova minaccia informatica-una che abusa di un umile strumento di diagnostica di rete per spalancare la porta agli hacker. Benvenuti nell’ultimo capitolo della saga ClickFix, dove gli attaccanti hanno trasformato in arma il comando “nslookup” per infettare utenti ignari con ModeloRAT, un potente trojan di accesso remoto.
L’evoluzione degli attacchi ClickFix è una lezione da manuale sull’adattamento dei criminali informatici. Osservate per la prima volta nel 2024, queste campagne sono iniziate sfruttando strumenti come PowerShell e mshta-comandi oggi comunemente bloccati dai software di sicurezza. Ma gli attaccanti, se non altro, sono pieni di risorse. Secondo Microsoft, gli attori della minaccia si sono spostati verso l’abuso di “nslookup”-uno strumento progettato per controllare indirizzi internet e risolvere problemi di rete, non per scaricare o eseguire programmi malevoli.
Ecco come funziona la truffa: gli utenti finiscono su un sito compromesso o malevolo e si trovano davanti a un CAPTCHA falso o a un prompt fasullo di risoluzione di un problema. Il sito li esorta a copiare ed eseguire un comando usando nslookup. Invece di recuperare un innocuo indirizzo IP, quel comando recupera di nascosto istruzioni o malware da un server controllato dagli attaccanti-nascosti nella normale risposta “Name:” di una query DNS. Da lì si sviluppa la catena d’infezione: viene scaricato un file ZIP, viene estratto uno script Python malevolo e, infine, viene scatenato ModeloRAT, che concede agli attaccanti il controllo remoto della macchina della vittima.
Ciò che rende questo metodo particolarmente pericoloso è la sua discrezione. Il traffico DNS è onnipresente e raramente viene esaminato con attenzione, permettendo all’attacco di confondersi con il rumore di fondo digitale. L’analisi di Malwarebytes avverte che l’urgenza e il gergo tecnico di queste campagne sono progettati per scavalcare lo scetticismo degli utenti-a volte persino usando timer o falsi video tutorial per spingere le vittime alla conformità.
Se le precedenti campagne ClickFix hanno distribuito infostealer o backdoor per attività di spionaggio, l’ondata attuale mette in luce una verità inquietante: nessuno strumento è troppo banale per essere distorto a fini criminali. Finché gli utenti saranno disposti a copiare e incollare comandi da internet senza farsi domande, gli attaccanti continueranno a innovare.
La lezione? Rallenta, metti tutto in discussione e non eseguire mai comandi provenienti da fonti non affidabili. In un’epoca in cui persino l’“elenco telefonico” digitale può essere trasformato in un’arma, la vigilanza è la tua migliore difesa.
WIKICROOK
- nslookup: nslookup è uno strumento da riga di comando usato per interrogare i record DNS, utile per diagnosticare problemi di rete e verificare le configurazioni dei nomi di dominio.
- Trojan di accesso remoto (RAT): un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare di nascosto il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
- DNS (Domain Name System): il DNS, o Domain Name System, traduce nomi di siti web come google.com in indirizzi IP, fungendo da rubrica degli indirizzi di internet per una navigazione semplice.
- PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma gli attaccanti spesso lo sfruttano per compiere azioni malevole in modo furtivo.
- Payload: un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, veicolata tramite email o file malevoli quando una vittima interagisce con essi.




