Prestigio di mano con il DNS: come la nuova variante KongTuke di ClickFix aggira le difese informatiche
Sottotitolo: I cybercriminali stanno nascondendo malware dentro i record DNS e ingannano le vittime affinché lo eseguano, eludendo i classici controlli di sicurezza.
Tutto inizia con un test semplice e familiare: “Dimostra di essere umano”. Ma dietro questa sfida apparentemente innocua si nasconde un nuovo e sofisticato attacco informatico che sta riscrivendo le regole dell’elusione. In una serie di incidenti recenti, gli aggressori hanno trasformato in arma il modesto record DNS TXT, usandolo come canale occulto per recapitare comandi PowerShell malevoli direttamente sulle macchine di vittime ignare. Benvenuti nell’era di KongTuke: un’evoluzione astuta della persistente campagna ClickFix.
Dalla fine di dicembre 2025, gli analisti di sicurezza hanno osservato un preoccupante cambiamento nelle tattiche di social engineering. La campagna ClickFix-nota in precedenza per i suoi ingannevoli aggiornamenti del browser e i prompt CAPTCHA-ha adottato un nuovo metodo di consegna del payload. Invece di chiedere password o sfruttare vulnerabilità del browser, KongTuke attira gli utenti a copiare e incollare un comando PowerShell, comodamente precaricato negli appunti dal JavaScript dell’attaccante.
Il trucco è ingegnosamente semplice. Quando una vittima approda su un sito compromesso o falso, le viene detto di aprire la finestra di dialogo Esegui di Windows e incollare un comando misterioso. Questo comando non scarica malware da un sito web convenzionale. Interroga invece un record DNS TXT appositamente costruito-di fatto un messaggio nascosto nel sistema dei nomi di dominio-usando la funzione Resolve-DnsName di PowerShell. Recuperando ed eseguendo immediatamente il contenuto di questo record DNS, l’attacco aggira filtri web, firewall e molte protezioni endpoint.
Per rendere ancora più torbide le acque, il comando instrada la richiesta DNS attraverso il resolver 8.8.8.8 di Google, bypassando blocchi DNS locali o appliance di sicurezza. Per i difensori di rete, il traffico appare come una normale query DNS-nulla che faccia scattare allarmi-mentre il payload viene assemblato ed eseguito silenziosamente sulla macchina della vittima. Il risultato? Un download di seconda fase, spesso un info-stealer o ulteriore malware, viene scatenato senza mai toccare un URL sospetto.
Ciò che rende KongTuke particolarmente pericoloso è il suo targeting dinamico. Il contenuto malevolo viene iniettato solo per visitatori specifici, consentendo ai domini compromessi di restare sotto il radar per giorni. I ricercatori di sicurezza avvertono le organizzazioni di monitorare esecuzioni PowerShell insolite-soprattutto quelle che coinvolgono Resolve-DnsName e iex-e di educare gli utenti: nessun sito legittimo chiederà mai di incollare comandi nella finestra di dialogo Esegui di Windows.
L’ascesa dell’abuso del DNS nella consegna di malware è un promemoria del fatto che gli attaccanti sono sempre alla ricerca di canali trascurati. Mentre i cybercriminali trasformano protocolli di uso quotidiano in condotti occulti, i difensori devono adattarsi, scrutinando non solo ciò su cui gli utenti cliccano, ma ciò che vengono persuasi a eseguire. Nella battaglia per la fiducia, una semplice “verifica umana” può essere il trucco più pericoloso di tutti.
WIKICROOK
- Record DNS TXT: Un record DNS TXT memorizza informazioni testuali nel Domain Name System, spesso per la sicurezza email, ma può essere usato impropriamente per nascondere dati o comandi.
- PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma gli attaccanti spesso lo sfruttano per compiere azioni malevole in modo furtivo.
- Iniezione negli appunti: L’iniezione negli appunti sostituisce il contenuto degli appunti con dati malevoli, ingannando gli utenti a incollare codice o link dannosi. È una minaccia informatica furtiva e pericolosa.
- Bypass della Execution Policy: Il bypass della execution policy consente di eseguire script PowerShell disabilitando le restrizioni di sicurezza integrate, spesso sfruttato negli attacchi informatici per eseguire codice non autorizzato.
- Info: Un info stealer è un malware che raccoglie di nascosto dati sensibili come password e dettagli finanziari dai dispositivi infetti e li invia ai cybercriminali.




