Variante Matryoshka ClickFix prende di mira gli utenti macOS con nuovo malware stealer

Variante Matryoshka ClickFix prende di mira gli utenti macOS con nuovo malware stealer

Variante Matryoshka ClickFix prende di mira gli utenti macOS con nuovo malware stealer

Introduzione rapida per gli utenti comuni

Se utilizzi un Mac, devi essere consapevole di una nuova truffa online denominata Matryoshka ClickFix che sta colpendo sempre più persone. Questa campagna malevola funziona così: visiti un sito web che sembra legittimo, ma in realtà è contraffatto. Il sito ti mostra un messaggio di errore falso e ti chiede di copiare e incollare un comando nel Terminale per “risolvere il problema”.

La soluzione è semplice: non farlo mai. I Mac non chiedono mai ai loro utenti di incollare comandi nel Terminale attraverso istruzioni di siti web. Se vedi questo tipo di richiesta, chiudi immediatamente la scheda del browser e non eseguire alcun comando. I veri aggiornamenti e correzioni di macOS avvengono sempre attraverso le Preferenze di Sistema, non tramite istruzioni manuali su siti casuali.

Cosa è ClickFix e perché è pericoloso

ClickFix è una tattica di ingegneria sociale che sfrutta la fiducia degli utenti nel farli eseguire comandi dannosi pensando di risolvere un problema legittimo. Questa tecnica è stata osservata per la prima volta su larga scala in campagne recenti e rappresenta una minaccia crescente per gli utenti Mac.

La variante Matryoshka è particolarmente sofisticata perché aggiunge livelli multipli di offuscamento, rendendo estremamente difficile per i ricercatori di sicurezza e per i software antivirus rilevare il malware. Il nome “Matryoshka” è un riferimento alle tradizionali bambole russe nidificate, poiché il malware è strutturato con strati multipli di compressione e codifica.

Come funziona l’attacco Matryoshka

Fase 1: l’inganno iniziale

L’attacco inizia quando un utente visita un dominio ingannevole, come comparisions[.]org, che è una variazione errata del sito legittimo comparisons.org. Questo dominio fa parte di un Traffic Distribution System (TDS) che reindirizza rapidamente le vittime a una pagina di supporto contraffatta o a un falso portale di aggiornamento.

I ricercatori hanno osservato questa campagna per la prima volta all’inizio di febbraio 2026, diffusa attraverso domini typosquatting e infrastrutture di reindirizzamento progettate per ingannare gli utenti.

Fase 2: il messaggio di errore falso

Una volta sulla pagina contraffatta, la vittima vede un messaggio convincente “Correggi l’installazione” che le istruisce di copiare e incollare un comando nel Terminale. Questo passaggio è cruciale per l’attacco perché l’inserimento manuale di comandi può aggirare i livelli di protezione di macOS che normalmente impediscono l’esecuzione di codice non autorizzato.

In questo modo, la vittima esegue inconsapevolmente uno script shell malevolo mascherato da patch legittima.

Fase 3: il payload nascosto

Una volta eseguito, il comando recupera uno script di piccole dimensioni, comunemente denominato rogue.sh, da un dominio remoto come barbermoo[.]xyz. Questo script contiene un payload di grandi dimensioni codificato in Base64 e compresso con gzip che si decomprime interamente in memoria utilizzando una sequenza di pipeline: decodifica Base64 → gunzip → eval.

Questa struttura, che assomiglia a bambole russe nidificate, mantiene il payload interno invisibile ai tradizionali scanner basati su file. Se lo scambio di comandi viene convalidato, il server C2 (Command and Control) consegna un payload AppleScript malevolo rilevato come trojan:AppleScript/Stealer.gen.

Comportamenti malevoli avanzati

Dopo la decompressione, il loader interno assume il controllo e impiega molteplici comportamenti anti-analisi per operare furtivamente:

  • Distacco dello sfondo: Il loader viene eseguito in background, restituendo istantaneamente il controllo all’utente per evitare sospetti.
  • Soppressione dell’output: Il reindirizzamento di input/output nasconde l’attività dello script e gli errori.
  • Comunicazione controllata da API: Tutte le richieste di rete richiedono un’intestazione segreta per risposte valide dal server, ostacolando l’emulazione del traffico da parte dei ricercatori.
  • Inoltro basato su argomenti: Se vengono passati argomenti da riga di comando, vengono aggiunti alle richieste in uscita per trasmettere i dati raccolti tra le fasi.

Cosa ruba il malware Matryoshka

Il malware evita di scrivere i componenti chiave su disco, aggirando così gli strumenti di ispezione statica e molti ambienti sandbox. Lo script ricerca principalmente l’estrazione di password archiviate e credenziali di portafogli crittografici.

Quando il furto diretto fallisce, il malware attiva un ciclo di phishing, imitando una finestra di dialogo delle “Preferenze di Sistema” di macOS fino a quando la vittima non inserisce le credenziali.

Successivamente, prende di mira applicazioni specifiche:

  • Ledger Live: Scambia gli archivi Electron all’interno del bundle per la persistenza furtiva.
  • Trezor Suite: Elimina e sostituisce l’intera app con una build compromessa.

Dopo la raccolta dei dati, Matryoshka confeziona le informazioni rubate in /tmp/osalogging.zip e le carica prima di visualizzare un messaggio di sistema ingannevole per indurre l’utente a pensare che l’operazione sia fallita innocuamente.

Come proteggersi

La protezione migliore è la consapevolezza e la cautela. Ecco le regole fondamentali:

  1. Non incollare mai codice nel Terminale basandoti su istruzioni di siti web casuali.
  2. I veri aggiornamenti di macOS non richiedono mai input da riga di comando manuale.
  3. Chiudi immediatamente qualsiasi pagina web che ti chiede di farlo.
  4. Verifica i domini prima di fare clic: comparisons.org è legittimo, comparisions[.]org (con la i al posto della s) è una truffa.
  5. Mantieni il software antivirus aggiornato: Intego VirusBarrier attualmente rileva la catena di infezione.

Technical Deep Dive

Analisi tecnica del wrapper Matryoshka

La struttura tecnica del malware rivela una sofisticazione notevole nell’implementazione della catena di infezione. Il primo stadio, rogue.sh, funziona come wrapper che contiene un payload Base64-gzip che viene decompresso in memoria tramite una pipeline di comandi shell. La sequenza operativa è:

echo "[BASE64_ENCODED_GZIP_DATA]" | base64 -d | gunzip | /bin/bash

Questa metodologia garantisce che il payload principale non venga mai scritto su disco in forma leggibile, eludendo i sistemi di rilevamento basati su firma che si affidano all’analisi di file statici.

Comunicazione C2 e API gating

Il loader interno implementa un meccanismo di API gating sofisticato che richiede un’intestazione HTTP personalizzata per validare le risposte del server di comando e controllo. La struttura della richiesta include:

  • Header API-key: 5190ef17… (il valore completo è truncato nelle analisi pubbliche)
  • Argomenti dinamici passati tramite parametri URL per trasmettere dati raccolti
  • Verifiche di validazione lato server che impediscono l’emulazione del traffico

Questa architettura rende estremamente difficile per i ricercatori di sicurezza emulare il comportamento del malware senza accesso alle credenziali API effettive.

Payload AppleScript e targeting delle applicazioni crittografiche

Il payload AppleScript (trojan:AppleScript/Stealer.gen) rappresenta un’evoluzione significativa negli attacchi macOS. Utilizza AppleScript, un linguaggio nativo di macOS, per interagire con le applicazioni a livello di interfaccia utente, consentendo:

  • L’estrazione di credenziali archiviate dalle applicazioni di gestione password
  • La manipolazione diretta delle applicazioni Ledger Live e Trezor Suite
  • L’imitazione di dialoghi di sistema per ingannare gli utenti nel rivelare credenziali aggiuntive

Per Ledger Live, il malware sostituisce gli archivi Electron all’interno del bundle dell’applicazione, consentendo la persistenza attraverso i riavvii. Per Trezor Suite, l’approccio è più diretto: l’applicazione viene completamente eliminata e sostituita con una versione compromessa, garantendo il controllo totale su tutte le operazioni di portafoglio.

Indicatori di compromissione (IOC)

I seguenti indicatori possono essere utilizzati per il rilevamento e la risposta agli incidenti:

  • Dominio C2 primario: barbermoo[.]xyz
  • Dominio typosquatting: comparisions[.]org
  • Gateway URL: macfilesendstream[.]com/r2/
  • Intestazione API richiesta: api-key: 5190ef17…
  • Percorso file staging: /tmp/osalogging.zip
  • SHA-256 (campione osservato): 62ca9538889b767b1c3b93e76a32fb4469a2486cb3ccb5fb5fa8beb2dd0c2b90
  • SHA-256 (script wrapper – rogue.sh): d675bff1b895b1a231c86ace9d7a39d5704e84c4bc015525b2a9c8c39158338
  • SHA-256 (loader interno): 48770b6493f2b9b9e1d9bdbf482ed981e709bd03e53885ff992121af16f76a09

Meccanismi di evasione

Matryoshka impiega diverse tecniche per eludere il rilevamento:

  1. Offuscamento multi-layer: Compressione gzip + codifica Base64 + esecuzione in memoria
  2. Assenza di persistenza su disco: Il payload principale non viene mai scritto in forma leggibile
  3. Esecuzione in background: Il loader ritorna il controllo all’utente immediatamente
  4. Reindirizzamento I/O: Sopprime l’output che potrebbe rivelare l’attività malevola
  5. Comunicazione API-gated: Impedisce l’analisi del traffico di rete

Questi meccanismi combinati rendono Matryoshka una minaccia particolarmente sfidante per i team di sicurezza, richiedendo analisi dinamiche e monitoraggio comportamentale avanzato per il rilevamento efficace.

Fonte: https://gbhackers.com/matryoshka-clickfix-variant/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto