I cybercriminali cercano sempre nuove modalità per rubare dati personali o accedere agli account. I ricercatori dei Jamf Threat Labs hanno individuato un attacco ClickFix che sfrutta inserzioni pubblicitarie su X per colpire gli utenti Mac. Gli esperti di Huntress hanno invece rilevato una variante per Windows denominata ConsentFix.
Attacco ClickFix per macOS
Solitamente gli attacchi ClickFix iniziano con l’invio di un’email di phishing o quando l’utente visita un sito dopo un ricerca online. Stavolta i cybercriminali hanno sfruttato X. Un account verificato (quindi con la spunta blu) ha pubblicato un’inserzione relativa ad una utility per macOS, denominata DynamicLake, che permette di aggiungere una Dynamic Island nella parte superiore dello schermo.
Cliccando sull’inserzione viene aperto il sito dedicato. Per scaricare l’app si deve cliccare sul pulsante “Installa Now”. Vengono invece mostrati i comandi da eseguire nel Terminale per effettuare l’installazione. L’ignara vittima installerà così una recente variante di AMOS (Atomic macOS Stealer) che ruberà numerosi dati personali. Dopo la segnalazione ricevuta dai ricercatori dei Jamf Threat Labs, X ha rimosso l’inserzione.
Attacco ConsentFix per Windows
ConsentFix è invece una variante di ClickFix per Windows. Invece di chiedere l’esecuzione di comandi che portano all’installazione di malware, i cybercriminali chiedono all’utente di effettuare l’accesso all’account Microsoft per scaricare un documento ospitato su Dropbox.
In questo modo ottengono i token di sessione che permettono l’accesso all’account senza password, aggirando anche l’autenticazione multi-fattore. Possono così leggere le email e altri dati personali. Il consiglio è non cliccare mai su inserzioni pubblicitarie o su link presenti in email, messaggi o post e non eseguire mai i comandi per installare presunte applicazioni.