Gli attacchi ClickFix, nati per colpire Windows, sono in aumento anche per macOS. Invece di convincere gli utenti a copiare un comando nel Terminale, i cybercriminali hanno trovato una migliore alternativa. Viene ora sfruttato lo Script Editor per installare il famigerato Atomic Stealer.
Nuova variante dell’attacco ClickFix per macOS
L’esca per le ignare vittime è nota da tempo. L’utente cerca online come “recuperare spazio su disco del Mac” e trova nei risultati un sito fasullo di Apple con le istruzioni da seguire. Il metodo classico usato dai cybercriminali prevede la copia di un comando nel Terminale. Nella versione 26.4 di macOS è stato aggiunto un avviso di pericolo che viene mostrato quando si esegue la suddetta operazione.
I ricercatori di Jamf hanno scoperto una variante dell’attacco ClickFix che aggira la protezione implementata da Apple. Per recuperare spazio su disco viene consigliata l’esecuzione di uno script. È necessario solo cliccare su un pulsante e il codice viene copiato nello Script Editor.
Se l’utente esegue il comando vengono scaricati altri script in sequenza e infine il famigerato Atomic Stealer, noto anche come AMOS (in futuro potrebbe essere sostituito da un simile malware). L’ultima versione di macOS chiede di salvare lo script prima dell’esecuzione, ma chi usa versioni precedenti non vede nessun avviso di pericolo.
Atomic Stealer può rubare numerose informazioni sensibili, tra cui dati memorizzati nel Keychain, nelle estensioni dei wallet di criptovalute, password, cookie e carte di credito memorizzate nel browser. Le versioni più recenti del malware includono anche una backdoor che consente ai cybercriminali di mantenere l’accesso remoto al Mac. Il consiglio (ovvio) è non cliccare su pulsanti che si trovano su siti sospetti (controllare sempre l’URL).
Ti potrebbe interessare
11 apr 2026