Non copiare e incollare questo codice nel Terminal del tuo Mac: ClickLock Stealer blocca il computer e ruba i dati

Non copiare e incollare questo codice nel Terminal del tuo Mac: ClickLock Stealer blocca il computer e ruba i dati

Non copiare e incollare questo codice nel Terminal del tuo Mac: ClickLock Stealer blocca il computer e ruba i dati

Attenzione: Se un sito web, anche se sembra affidabile (come Cloudflare, Google o un servizio di verifica), ti chiede di aprire il Terminal del tuo Mac e di copiare e incollare un comando, NON FARLO. Questa è la trappola di un nuovo malware chiamato ClickLock Stealer.

La soluzione rapida: Se hai già eseguito il comando, non riavviare il Mac immediatamente (potrebbe ripristinare il malware), ma smetti subito di usare il dispositivo per attività sensibili (banking, email, account Apple). Cambia tutte le tue password da un dispositivo sicuro e diverso (come un telefono o un altro computer) e contatta immediatamente il tuo supporto bancario o di criptovalute se hai wallet attivi.

Questo malware non sfrutta bug del sistema operativo, ma inganna l’utente con una tecnica di ingegneria sociale chiamata ClickFix, finge di essere una verifica di sicurezza e, se non si fornisce la password, chiude le applicazioni in loop rendendo il Mac inutilizzabile fino al compimento della richiesta.

Cos’è ClickLock Stealer e come funziona

ClickLock Stealer è un nuovo programma infestante (infostealer) progettato per colpire specificamente gli utenti di macOS. A differenza di molti virus tradizionali che cercano di entrare nel sistema sfruttando falle di sicurezza o bug software, ClickLock Stealer si basa interamente sulla psicologia e sulla fiducia dell’utente. Il suo obiettivo principale è rubare una vasta gamma di dati sensibili, tra cui password, wallet di criptovalute, dati dei browser e crediti FTP.

L’attacco inizia quando un utente visita una pagina web fraudolenta. Questa pagina è spesso progettata per sembrare una verifica di sicurezza legittima, impersonando marchi famosi come Cloudflare. Il sito dice all’utente che il suo computer deve essere “verificato” o “pulito” per accedere al contenuto. Per farlo, l’utente deve eseguire una serie di istruzioni semplici ma pericolose:

  1. Premere Command + Space per aprire la ricerca Spotlight.
  2. Scrivere “Terminal” e aprire l’applicazione.
  3. Copiare un lungo comando bash fornito dal sito web.
  4. Incollare il comando nel Terminal e premere Return.

Una volta eseguito il comando, il malware si installa silenziosamente. Il sistema mostra una finestra che sembra una verifica di sistema di macOS, con un’animazione di progresso falsa. Mentre l’utente crede che il sistema sia solo in verifica, il malware scarica componenti aggiuntivi e prepara l’ambiente per il furto dei dati.

Il meccanismo di blocco: quando l’utente non collabora

La caratteristica più aggressiva e pericolosa di ClickLock Stealer è il suo comportamento di “locker” (bloccatore). Se durante il processo di verifica finta il malware richiede la password di login del Mac e l’utente non la fornisce o cancella la finestra, il malware reagisce con una tattica brutale:

  • Chiusura ciclica delle applicazioni: Il malware inizia a chiudere forzatamente tutte le applicazioni visibili sul computer ogni pochi secondi (circa ogni 210 millisecondi).
  • Impedimento dell’uso: Questo ciclo rende il computer praticamente inutilizzabile. L’utente non può aprire file, navigare o usare il sistema perché ogni finestra viene chiusa immediatamente dopo l’apertura.
  • Pressione psicologica: L’obiettivo è creare un senso di frustrazione e paura, spingendo l’utente a fornire la password per interrompere il blocco e tornare a usare il computer.

Se l’utente fornisce la password, il furto dei dati avviene in silenzio e il computer sembra funzionare normalmente, ma i dati sono già compromessi. Se l’utente tenta di riavviare il Mac invece di fornire la password, il malware utilizza meccanismi di persistenza (come LaunchAgents) per riattivare l’attacco e continuare il blocco al prossimo riavvio.

Dati rubati e impatto globale

Le ricerche condotte da Group-IB, un’organizzazione di intelligence sulle minacce, hanno rivelato l’enorme portata dei dati che ClickLock Stealer può rubare. Il malware è progettato per essere estremamente specifico e mirato, colpendo:

  • 8 browser web diversi (inclusi Chrome, Safari, Firefox, ecc.).
  • 31 estensioni di wallet di criptovalute per browser.
  • 7 estensioni di gestori di password.
  • 8 applicazioni desktop per wallet di criptovalute.
  • Indirizzi blockchain su 6 reti diverse.
  • Il macOS Keychain (il database di password integrato di Apple).
  • La cronologia del Terminal (shell history).
  • Credenziali FTP.

L’attacco è attivo da almeno maggio 2026 e ha già colpito almeno 100 vittime in 33 paesi. Più della metà delle vittime si trova in Europa, ma l’attacco è globalizzato e colpisce anche utenti in Nord America e MEA (Medio Oriente e Africa). Gli aggressori distribuiscono il malware tramite pagine di verifica false, siti WordPress compromessi e infrastrutture Telegram per il controllo e la comunicazione.

Come proteggersi e prevenire l’attacco

La protezione contro ClickLock Stealer è semplice ma richiede disciplina. Il malware non ha bisogno di privilegi elevati o di exploit per funzionare; ha solo bisogno che l’utente esegua volontariamente il comando. Ecco le regole fondamentali per la sicurezza:

  • Non eseguire mai comandi da siti web: Se un sito ti chiede di aprire il Terminal e incollare un comando, è sempre una truffa. Nessun sito legittimo, nemmeno Cloudflare o Google, richiede questo tipo di azione per una verifica.
  • Chiudi la scheda immediatamente: Se vedi una pagina che ti chiede di copiare e incollare comandi, chiudi subito la finestra senza eseguire nulla.
  • Verifica l’autenticità: Se hai dubbi su un servizio, non cliccare sui link nelle email o nelle pubblicità. Cerca il sito ufficiale tramite una ricerca online e verifica l’URL.
  • Non dare mai la password di sistema: Il sistema operativo macOS non richiede la password di login per una verifica di sicurezza tramite una finestra web o un popup non ufficiale. Se una finestra ti chiede la password, è probabilmente un malware.
  • Usa un antivirus di fiducia: Installa e mantieni aggiornato un software antivirus affidabile per Mac che possa rilevare comportamenti sospetti, anche se non ha ancora una firma specifica per questo nuovo malware.
  • Proteggi le criptovalute: Se possiedi criptovalute, usa un wallet freddo (cold wallet) e non collegare mai i tuoi wallet principali a browser o dispositivi che potrebbero essere compromessi.

Technical Deep Dive

Per gli utenti tecnici e i professionisti della sicurezza, ecco un’analisi dettagliata degli aspetti architetturali e operativi di ClickLock Stealer:

Architettura del Malware e Meccanismi di Persistenza

ClickLock Stealer è stato analizzato come un script shell che non richiede privilegi di root per l’esecuzione iniziale. Il malware sfrutta la funzione base64 -d | bash per decodificare e eseguire payload in memoria, evitando la scrittura di file eseguibili permanenti sul disco durante la fase iniziale. Questo approccio in-memory execution rende più difficile il rilevamento tramite strumenti tradizionali di scansione file.

La persistenza è garantita attraverso l’installazione di due LaunchAgents nella directory ~/Library/LaunchAgents/. Questi agenti sono configurati per eseguire il comando maligno automaticamente al riavvio del sistema, assicurando che l’attacco si ripresenta anche se l’utente tenta di riavviare il Mac per interrompere il blocco delle applicazioni.

Tecniche di Processo Killing e Blocco

Il meccanismo di blocco è implementato tramite un ciclo di kill che identifica e termina i processi delle applicazioni visibili. Il malware utilizza una funzione di temporizzazione precisa (circa 210ms) per chiudere le applicazioni in un ciclo continuo. Questa frequenza è sufficiente per impedire all’utente di interagire con qualsiasi finestra, ma troppo veloce per essere facilmente interrotta manualmente senza fornire la password.

Il malware utilizza una versione modificata del tool open source GSocket per fornire un accesso remoto agli aggressori, permettendo il controllo completo del sistema compromesso e l’esfiltrazione dei dati.

Esfiltrazione dei Dati e Infrastruttura C2

I dati rubati vengono raccolti da una vasta gamma di sorgenti, inclusi:

  • Database di Keychain per recuperare le password salvate.
  • File di cronologia shell (~/.bash_history, ~/.zsh_history) per analisi post-attacco.
  • File di configurazione FTP per accesso a server remoti.
  • Estensioni di browser per wallet e password manager.

L’esfiltrazione dei dati avviene tramite connessioni Telegram, che vengono utilizzate come infrastruttura di Command and Control (C2). Questo rende il rilevamento delle connessioni di rete più complesso, poiché Telegram è un servizio legittimo e ampiamente utilizzato, spesso non bloccato dai firewall aziendali.

Rilevamento e Mitigazione

I difensori devono concentrarsi sul rilevamento comportamentale piuttosto che sulle firme del malware, poiché il codice è in continua evoluzione e non ha ancora firme antivirus consolidate. I segnali di allarme includono:

  • Prompt di password inaspettati durante la navigazione web.
  • Chiusura ripetuta di applicazioni in un ciclo continuo.
  • Accesso anomalo a dati di browser e credenziali salvate.
  • Connessioni di rete verso Telegram che trasmettono grandi quantità di dati.

La mitigazione a livello di sistema operativo è già in corso: Apple XProtect ha aggiornato le firme per proteggere gli utenti, e nelle versioni di macOS 14.4 e successive, Apple ha introdotto una mitigazione specifica che blocca direttamente il meccanismo di distribuzione ClickFix, impedendo l’esecuzione di comandi shell non autorizzati da pagine web.

Gli utenti tecnici dovrebbero verificare la presenza di file sospetti in /tmp e ~/Library/LaunchAgents/ e eseguire scansioni complete con strumenti come Malwarebytes per rimuovere eventuali residui del malware. La revoca immediata delle API tokens e delle chiavi SSH è fondamentale per limitare l’impatto di un eventuale furto di credenziali.

Fonte: https://www.theregister.com/cyber-crime/2026/07/16/cmon-just-copy-this-text-string-and-paste-it-into-your-macos-terminal-itll-fix-your-computer-honest/5273701

Torna in alto