Nuovo attacco ClickFix su macOS monta silenziosamente DMG per diffondere infostealer
Attenzione immediata: Se un sito web ti chiede di aprire Terminal e inserire un comando per “verificare” qualcosa o risolvere un problema, NON FARLO MAI. Questa è una truffa comune. La soluzione rapida è chiudere immediatamente la pagina, non eseguire mai comandi sconosciuti e aggiornare il tuo sistema operativo. Se hai già eseguito un comando, disconnetti il dispositivo dalla rete e esegui una scansione antivirus completa.
Un nuovo attacco informatico sta prendendo di mira i dispositivi Mac con una tecnica sofisticata chiamata ClickFix. Gli hacker utilizzano comandi Terminal per scaricare, montare e avviare in modo silenzioso malware capaci di rubare informazioni sensibili. Questo attacco non richiede che l’utente clicchi su un file scaricato manualmente; il sistema viene compromesso automaticamente una volta eseguito il comando falso. Il malware, identificato come Atomic macOS Stealer (AMOS), è progettato per sottrarre credenziali di browser, dati di wallet di criptovalute, informazioni di Keychain, messaggi e documenti personali. La sicurezza dei tuoi dati digitali è ora sotto seria minaccia se non si adottano le precauzioni descritte in questo articolo.
Le ricerche condotte da Palo Alto Networks Unit 42 hanno svelato per la prima volta questa campagna. L’attacco inizia con una pagina CAPTCHA falsa che appare sugli schermi degli utenti. Questa pagina ingannevole invita l’utente ad aprire il Terminal e inserire un comando dannoso per “verificare” la propria identità o risolvere un errore del browser. Una volta che l’utente esegue il comando, il processo di infezione diventa immediato e irreversibile senza un intervento rapido.
Il comando eseguito scarica un file DMG (immagine disco) da un server controllato dall’attaccante. Invece di richiedere all’utente di aprire il file manualmente, il sistema macOS utilizza il comando nativo hdiutil per montare l’immagine silenziosamente. Il malware localizza automaticamente il bundle di applicazione contenuto nell’immagine e lo avvia senza mostrare alcun avviso all’utente. Questo metodo elimina la necessità di interazione umana per l’attivazione del virus, rendendo l’attacco estremamente pericoloso e difficile da bloccare per i utenti meno esperti.
ClickFix è una tecnica di ingegneria sociale che utilizza falsi CAPTCHA, errori del browser o alert di sistema per convincere i visitatori a copiare ed eseguire “istruzioni di riparazione” fornite dagli attaccanti. Questa tecnica ha guadagnato una popolarità significativa tra i gruppi criminali nell’ultimo anno. È stata utilizzata sia da cybercriminali indipendenti sia da gruppi di hacking sponsorizzati da stati per distribuire malware su larga scala. La capacità di mimetizzare l’attacco come un processo di verifica di sicurezza lo rende particolarmente efficace nel manipolare la fiducia degli utenti.
Sebbene gli attacchi ClickFix che utilizzano file DMG non siano nuovi, le campagne precedenti dipendevano tipicamente dall’utente che doveva aprire manualmente il file DMG scaricato per avviare l’applicazione dannosa o eseguire script. La nuova campagna osservata da Palo Alto combina entrambe le approcci: utilizza un comando Terminal per scaricare silenziosamente il file DMG e avvia il malware in esso contenuto senza che l’utente debba fare nulla oltre all’esecuzione iniziale del comando falso. Questa fusione di metodi rende l’attacco più fluido e meno probabile che venga notato dall’utente durante il processo.
Il comando Terminal dannoso, utilizzato come falsa verifica CAPTCHA, scarica un file DMG malvagio da un indirizzo web specifico utilizzando curl con flag silenziosi per evitare che l’utente veda lo stato del download. Il file viene salvato in una cartella temporanea con un nome generato casualmente per evitare identificazioni immediate. Successivamente, il comando esegue l’ordine di montaggio dell’immagine disco senza visualizzarla sul desktop o nel Finder, rendendo l’operazione invisibile all’utente.
Lo script dannoso cerca poi fino a tre livelli di directory per trovare il primo file di installazione .app o .pkg disponibile. Se trovato, lo avvia automaticamente utilizzando il comando open di macOS. Il malware viene spesso distribuito come un’immagine disco con nomi apparentemente innocui o generici, come “s.01M0td.dmg”, che monta un volume contenente un bundle di applicazione con firma autogestita. Questo payload è parte della famiglia Atomic macOS Stealer, progettata per rubare credenziali, cronologia di navigazione, token di autenticazione e wallet di criptovalute.
L’infostealer mostra un prompt di autenticazione falso delle Preferenze del Sistema, chiedendo all’utente di inserire la sua password. Una volta che l’utente la inserisce, il malware la ruba immediatamente. Il malware targettizza otto browser basati su Chromium, inclusi Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc e Yandex, rubando cookie, database di login, informazioni di autofill, carte di pagamento salvate e dati del profilo del browser. Inoltre, targettizza browser derivati da Firefox come LibreWolf, SeaMonkey, Tor Browser, Waterfox e Zen Browser, raccogliendo le stesse informazioni sensibili.
Il malware cerca e ruba anche dati di wallet di criptovalute come Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet e TonKeeper. Oltre a questi, raccoglie dati di Telegram Desktop e Discord, database di Apple Notes, cookie di Safari, file di database Keychain di Apple e documenti utente con estensioni PDF, TXT o RTF. Tutti i dati raccolti vengono archiviati in un file ZIP e inviati al server dell’attaccante per essere recuperati.
Un dettaglio particolarmente preoccupante è che il malware ha sostituito installazioni legittime di Ledger Live e Trezor Suite con versioni malvage, probabilmente per facilitare il furto di criptovalute. La campagna utilizza server di comando e controllo specifici per gestire l’attacco e riceve i dati rubati. Gli utenti devono essere estremamente cauti quando i siti web richiedono l’apertura di Terminal e l’esecuzione di comandi, specialmente se legati a verifiche CAPTCHA o fix di browser. Se non si comprende al 100% il significato di un comando, non deve mai essere eseguito.
Technical Deep Dive
Per gli utenti tecnici e gli analisti di sicurezza, è fondamentale comprendere i meccanismi specifici di questo attacco ClickFix. L’attacco sfrutta la combinazione di comandi curl e hdiutil per bypassare le interazioni utente standard. Il comando curl utilizza flag -fsSL per eseguire il download silenziosamente, evitando output visivo e ignorando errori di certificato SSL, il che permette l’uso di server controllati da attaccanti senza verifiche di sicurezza. Il file scaricato viene salvato in /tmp con un nome generato dinamicamente, probabilmente basato su timestamp o hash, per evitare conflitti di nome e identificazione facile.
Il comando hdiutil attach -nobrowse è cruciale per l’invisibilità dell’attacco. L’opzione -nobrowse previene il montaggio visibile dell’immagine disco nel Finder e sul desktop, impedendo all’utente di notare che un nuovo volume è stato aggiunto al sistema. Questo permette al malware di operare in background senza suscitare sospetti. Lo script poi esegue una ricerca iterativa attraverso i livelli di directory, fino a tre, per identificare file .app o .pkg. Questa ricerca è progettata per adattarsi a diverse strutture di immagine disco, aumentando la probabilità di trovare e avviare il payload malvagio indipendentemente dalla sua posizione specifica nell’immagine.
Il payload, identificato come Atomic macOS Stealer (AMOS), utilizza una firma autogestita per l’applicazione, il che significa che non è verificata da Apple, ma il sistema macOS potrebbe comunque eseguire l’applicazione se l’utente non ha configurato restrizioni di sicurezza rigorose. L’infostealer interagisce con le API di sistema per accedere a dati sensibili come cookie, database di login e token di autenticazione. L’attacco targettizza specificamente browser basati su Chromium e Firefox, sfruttando le loro strutture di dati comuni per l’accesso ai dati di navigazione e autenticazione.
La sostituzione di applicazioni legittime come Ledger Live e Trezor Suite con versioni malvage rappresenta un livello avanzato di ingegneria sociale e manipolazione del sistema. Questo richiede l’accesso alle directory di installazione e la capacità di sostituire file eseguibili, indicando che il malware ha ottenuto privilegi elevati sul sistema. I server di comando e controllo, identificati come svs-verificationdate[.]beer e 196.251.107[.]171, sono utilizzati per la distribuzione del malware e la ricezione dei dati rubati. L’uso di indirizzi di dominio con nomi generici e numeri IP diretti suggerisce un’infrastruttura di attacco progettata per essere resistente e difficile a essere bloccata.
Per mitigare questo attacco, è essenziale configurare le restrizioni di sicurezza di macOS per impedire l’esecuzione di applicazioni non firmate e utilizzare strumenti di monitoraggio per identificare l’attività di curl e hdiutil in contesti non standard. L’analisi dei log di sistema può rivelare tentativi di download silenziosi e montaggio di immagini disco, fornendo indizi per la rilevazione e la risposta agli incidenti. La comprensione di questi dettagli tecnici è fondamentale per gli esperti di sicurezza per sviluppare strategie di difesa efficaci e prevenire futuri attacchi simili.
