Microsoft ha rilevato nuovi attacchi ClickFix contro gli utenti Mac. Lo scopo dei cybercriminali è rubare diversi dati personali attraverso infostealer. Invece dei file DMG, che possono essere bloccati dalle protezioni di macOS, vengono spesso utilizzati script da eseguire nel Terminale. Apple ha introdotto un avviso di pericolo con macOS 26.4, ma circolano già metodi alternativi.
Descrizione degli attacchi ClickFix
L’attacco inizia quando gli utenti cercano informazioni online, ad esempio come recuperare spazio su disco. Finiscono così su siti o blog che forniscono le istruzioni da copiare e incollare nel Terminale di macOS. Con la prima campagna scoperta da Microsoft viene distribuito un infostealer AppleScript che raccoglie numerosi dati da browser, app di messaggistica e account iCloud, oltre a file, documenti e wallet di criptovalute. Il malware viene eseguito ad ogni avvio e invia i dati al server remoto.
Un diverso infostealer (nome ignoto) è stato distribuito con una seconda campagna quando l’utente esegue uno script nel Terminale. In questo caso viene sfruttato anche un bot Telegram per recuperare l’indirizzo del server remoto. Il malware viene eseguito in memoria e non lascia tracce su disco.
Con la terza campagna viene invece distribuito il famigerato AMOS (Atomic macOS Stealer). Dopo aver verificato l’assenza di ambienti di virtualizzazione, il malware accede alle credenziali Keychain e del browser, oltre che ai wallet di criptovalute. I dati vengono quindi copiati in un archivio ZIP e inviati al server remoto. Per mantenere la persistenza viene installata una backdoor.
Apple XProtect è stato aggiornato per rilevare e bloccare gli infostealer. Per questi malware funziona l’avviso di pericolo aggiunto con macOS 26.4, ma gli utenti non dovrebbero mai copiare istruzioni nel Terminale se non sono certi delle conseguenze.
Ti potrebbe interessare
9 mag 2026