Sito web iClicker hackerato con CAPTCHA falso nell'attacco ClickFix

Il sito web della popolare piattaforma di coinvolgimento degli studenti iClicker è stato compromesso da un attacco ClickFix. Un falso messaggio di errore "Non sono un robot" ha indotto gli utenti a installare malware. Scopri chi è stato colpito e come proteggerti.

Una popolare aula digitale utilizzata in molte università, chiamata iClicker, è stata recentemente presa di mira dagli hacker. Questo strumento, di proprietà di Macmillan, aiuta gli insegnanti a monitorare le presenze e a porre domande agli studenti in classe. Milioni di studenti e migliaia di insegnanti negli Stati Uniti, tra cui l'Università del Michigan e l'Università della Florida, utilizzano iClicker.

Secondo l' avviso del Safe Computing Team dell'Università del Michigan, tra il 12 e il 16 aprile 2025, il sito web iClicker è stato compromesso, mostrando un CAPTCHA falso ai visitatori del sito e chiedendo loro di cliccare su "Non sono un robot".

Quando un utente Windows cliccava su questo falso assegno, un comando nascosto di PowerShell veniva copiato sul suo dispositivo. Gli veniva chiesto di aprire una finestra speciale sul computer (premendo contemporaneamente il tasto Windows e la lettera "R"), incollare questo comando (premendo Ctrl e "V") e quindi premere Invio. In questo modo, il comando nascosto veniva eseguito.

Questo trucco, noto come attacco ClickFix , è un modo per indurre gli utenti a scaricare malware. Un utente di Reddit ha testato questo comando su Any.Run e ha scoperto che si connetteva a un server su Internet per scaricare un altro set di istruzioni, a seconda di chi visitava il sito web. Se si trattava di una persona reale che utilizzava un computer normale, le istruzioni scaricavano malware, il che poteva dare all'aggressore il controllo completo sul dispositivo.

È probabile che questo malware sia stato progettato per rubare informazioni personali, come nomi utente, password, dati di carte di credito e persino informazioni sui portafogli di criptovalute memorizzati sul computer.

Nel caso in cui il visitatore fosse un sistema utilizzato dagli esperti di sicurezza per analizzare malware, il comando nascosto scaricherebbe invece un programma innocuo da Microsoft, in modo che gli aggressori possano eludere il rilevamento.

Nel suo bollettino sulla sicurezza, iClicker ha confermato che il suo sistema principale e le informazioni degli utenti erano al sicuro, spiegando che una terza parte aveva inserito un falso controllo di sicurezza sul proprio sito web prima che gli utenti effettuassero l'accesso.

Come precedentemente riportato da Hackread.com, ClickFix è diventato una preoccupazione crescente nel mondo della sicurezza informatica. A marzo 2024, abbiamo segnalato il crescente utilizzo di attacchi ClickFix da parte di gruppi di criminalità informatica come TA571 e ClearFake. Successivamente, nell'ottobre 2024, l'azienda di sicurezza informatica Sekoia ha osservato un aumento degli attacchi ClickFix che utilizzavano false pagine di Google Meet, Chrome e Facebook per diffondere malware.

Di recente, nell'aprile 2025, Hackread.com ha segnalato che gruppi di hacker finanziati dai governi di paesi come Corea del Nord, Iran e Russia hanno utilizzato questo metodo nelle loro operazioni di spionaggio e hanno persino pubblicato un post dettagliato sul blog su come proteggersi dagli attacchi ClickFix.

iClicker consiglia a chiunque abbia visitato il suo sito web tra il 12 e il 16 aprile e abbia cliccato sul falso controllo di sicurezza di modificare immediatamente tutte le password salvate sul proprio computer, inclusa la password di iClicker, e di utilizzare un gestore di password per massimizzare la sicurezza del proprio account. Chi ha utilizzato solo l'app mobile di iClicker o non ha visto il falso controllo di sicurezza è stato al sicuro da questo specifico attacco.

Debbie Gordon , CEO e fondatrice di Cloud Range, ha commentato lo sviluppo affermando: "Questo incidente dimostra con quanta facilità gli aggressori possono trasformare una semplice interazione dell'utente, come cliccare su un CAPTCHA, in un vero e proprio compromesso".

La vera domanda è: quanto velocemente il tuo team può rilevarlo e contenerlo? Questa è l'essenza della prontezza nella risposta agli incidenti. L'addestramento basato sulla simulazione fornisce ai difensori la memoria muscolare necessaria per individuare segnali d'allarme comportamentali, indagare efficacemente e coordinare le azioni di contenimento in tempo reale prima che piccole falle si trasformino in violazioni gravi.