Attacco ClickFix con falso sito di CleanMyMac
Topic
Approfondimenti
Trending
tutti

Attacco ClickFix con falso sito di CleanMyMac

Un falso sito di CleanMyMac distribuisce SHub Stealer, un infostealer per macOS che raccoglie informazioni sul sistema e ruba numerosi dati sensibili.
Attacco ClickFix con falso sito di CleanMyMac
Sicurezza
Un falso sito di CleanMyMac distribuisce SHub Stealer, un infostealer per macOS che raccoglie informazioni sul sistema e ruba numerosi dati sensibili.
Malwarebytes

Ignoti cybercriminali hanno sfruttato la popolarità di CleanMyMac per distribuire malware. Se l’utente finisce sul sito fasullo deve seguire le istruzioni indicate per installare il software. Si tratta della diffusa tecnica ClickFix che viene usata in questo caso per rubare numerosi dati sensibili con il malware SHub Stealer.

Attenzione ai siti fake dei software

CleanMyMac è un software sviluppato da MacPaw che permette di ottimizzare le prestazioni di macOS eliminando file superflui. È a pagamento con prova gratis di 7 giorni. I cybercriminali hanno creato un sito simile a quello legittimo, dal quale è possibile il download senza pagare nulla. Gli esperti di Malwarebytes hanno trovato prove che indicano l’uso del malvertising (link sponsorizzato sui motori di ricerca) per pubblicizzare il software.

Sul sito fake sono scritti i comandi da copiare nel Terminale di macOS per scaricare il software. Nel comando c’è un URL che contiene il nome dello sviluppatore (MacPaw), quindi sembra legittimo. Viene invece scaricato uno script che svolge il compito di loader. Verifica innanzitutto se la lingua impostata è il russo (chiaro indizio sulla nazionalità dei cybercriminali).

Se la lingua è differente vengono inviate informazioni sul sistema (indirizzo IP, hostname e versione di macOS) al server remoto. In pratica viene creato un profilo univoco che consente di tracciare le singole vittime. Successivamente viene scaricato il payload principale, un AppleScript che chiude la finestra del Terminale e mostra un falso prompt di sistema per l’inserimento della password.

Dopo aver rubato la password (utile per accedere al macOS Keychain), SHub Stealer inizia la raccolta di numerosi dati sensibili, tra cui password, cookie e informazioni di pagamento da 14 browser basati su Chromium e Firefox, insieme alle credenziali di vari wallet per criptovalute (estensioni del browser e app dedicate).

Accede inoltre ai file in cui vengono solitamente conservate le chiavi API e i token di autenticazione. Tutti i dati rubati vengono infine compressi in un archivio ZIP e inviati al server remoto. Il consiglio è ovviamente non eseguire nessun comando nel Terminale. La versione legittima di CleanMyMac può essere scaricata dallo store di Apple.

Fonte: Malwarebytes

Pubblicato il 9 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Con Incogni stop alle chiamate spam: è in sconto del 55%

Con Incogni stop alle chiamate spam: è in sconto del 55%
Iran usa le videocamere private per trovare i bersagli

Iran usa le videocamere private per trovare i bersagli
Phishing e furto di denaro: la banca deve rimborsare subito

Phishing e furto di denaro: la banca deve rimborsare subito
Worm JavaScript vandalizza le pagine di Meta-Wiki

Worm JavaScript vandalizza le pagine di Meta-Wiki
Con Incogni stop alle chiamate spam: è in sconto del 55%

Con Incogni stop alle chiamate spam: è in sconto del 55%
Iran usa le videocamere private per trovare i bersagli

Iran usa le videocamere private per trovare i bersagli
Phishing e furto di denaro: la banca deve rimborsare subito

Phishing e furto di denaro: la banca deve rimborsare subito
Worm JavaScript vandalizza le pagine di Meta-Wiki

Worm JavaScript vandalizza le pagine di Meta-Wiki
Luca Colantuoni
Pubblicato il
9 mar 2026
Link copiato negli appunti