ClickFix evolve su macOS: DMG invisibili e Atomic Stealer rubano dati dal Terminale

🛡️ Executive Summary

• Nuova variante ClickFix sfrutta il Terminale macOS per scaricare e montare file DMG invisibili senza intervento dell’utente.
• Il malware Atomic macOS Stealer ruba credenziali, cookie, wallet crypto, dati Keychain e informazioni personali.
• La tecnica utilizza hdiutil con flag -nobrowse per eseguire payload in background e ridurre gli indicatori visivi.

Le campagne basate sulla tecnica ClickFix continuano a evolversi e a colpire nuovi bersagli all’interno dell’ecosistema Apple. I ricercatori di Unit 42 di Palo Alto Networks hanno identificato una variante particolarmente sofisticata che prende di mira gli utenti macOS sfruttando una combinazione di social engineering, strumenti nativi del sistema operativo e automazione del processo di infezione. La novità più rilevante consiste nell’utilizzo di immagini disco DMG scaricate e montate in maniera completamente invisibile all’utente, eliminando gran parte delle interazioni richieste nelle campagne precedenti. L’obiettivo finale è distribuire Atomic macOS Stealer (AMOS), uno degli infostealer più diffusi nel panorama criminale dedicato ai dispositivi Apple. La minaccia è progettata per raccogliere credenziali, dati finanziari, cookie di autenticazione, wallet di criptovalute e informazioni archiviate all’interno del sistema operativo. L’attacco conferma come gli operatori delle campagne ClickFix stiano progressivamente perfezionando le proprie tecniche per aumentare il tasso di compromissione e ridurre al minimo i segnali che potrebbero mettere in allarme la vittima.

Come funziona la nuova variante ClickFix su macOS

L’attacco inizia con una pagina web fraudolenta che simula un controllo CAPTCHA, una verifica di sicurezza o un meccanismo di autenticazione apparentemente legittimo. L’utente viene invitato ad aprire il Terminale di macOS e a incollare un comando presentato come necessario per completare la procedura di verifica. Una volta eseguita l’istruzione, il sistema utilizza curl con parametri come -fsSL per scaricare un file DMG da un’infrastruttura controllata dagli attaccanti, spesso ospitata su domini costruiti per apparire credibili.

Il file viene salvato nella directory temporanea /tmp con un nome casuale e successivamente montato tramite hdiutil attach -nobrowse. Questa operazione rappresenta l’elemento distintivo della nuova campagna perché consente di montare l’immagine disco senza visualizzarla sul desktop o all’interno del Finder. Una volta completato il montaggio, lo script ricerca automaticamente file .app o .pkg presenti all’interno del volume e ne avvia l’esecuzione mediante il comando open, automatizzando completamente la fase di lancio del malware. Rispetto alle campagne ClickFix precedenti, che richiedevano l’apertura manuale del DMG da parte della vittima, questa variante riduce drasticamente il numero di passaggi necessari per compromettere il sistema.

Il montaggio invisibile dei DMG aumenta l’efficacia dell’attacco

L’utilizzo di hdiutil con il parametro -nobrowse permette agli attaccanti di sfruttare una funzionalità legittima di macOS per nascondere una fase fondamentale della catena di infezione. I file DMG costituiscono da anni uno dei metodi più comuni per distribuire software nell’ecosistema Apple e la loro presenza raramente genera sospetti negli utenti. La differenza, in questo caso, è che l’immagine disco non viene mostrata attraverso le normali interfacce grafiche del sistema operativo.

Il volume montato resta infatti invisibile nelle aree in cui un utente potrebbe accorgersi della presenza di un nuovo dispositivo o di un software appena scaricato. Questa tecnica rientra nelle cosiddette strategie Living off the Land, nelle quali gli aggressori sfruttano strumenti nativi del sistema operativo per evitare il rilevamento e ridurre gli indicatori di compromissione. Eliminando la necessità di interagire manualmente con il DMG, la campagna riesce a mantenere un profilo più discreto e aumenta le probabilità che il payload venga eseguito senza alcuna interruzione da parte della vittima.

Atomic macOS Stealer è il payload distribuito dalla campagna

Una volta eseguito il bundle contenuto nel DMG, il sistema viene infettato da Atomic macOS Stealer, conosciuto anche con l’acronimo AMOS. Questo malware è considerato uno degli infostealer più attivi e redditizi del panorama cyber dedicato a macOS e viene frequentemente distribuito attraverso modelli Malware-as-a-Service. L’obiettivo principale del software malevolo è raccogliere rapidamente informazioni monetizzabili, evitando attività rumorose che potrebbero attirare l’attenzione della vittima. AMOS analizza il sistema alla ricerca di credenziali archiviate, cookie di autenticazione, dati personali, documenti e configurazioni applicative. Una volta raccolte le informazioni, il malware le comprime all’interno di archivi e le trasmette ai server di comando e controllo degli operatori della campagna. Questo approccio consente ai criminali di ottenere rapidamente accessi a servizi online, informazioni finanziarie e dati personali utilizzabili per ulteriori attività fraudolente o per la rivendita nei marketplace clandestini.

Browser, credenziali e sessioni di autenticazione nel mirino

Le funzionalità di raccolta dati di Atomic macOS Stealer coprono un ampio numero di browser utilizzati nell’ecosistema Apple. Tra gli obiettivi figurano Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, Yandex Browser e CocCoc, oltre a diversi browser derivati da Firefox. Il malware estrae password salvate, cookie, cronologia di navigazione, token di autenticazione e dati delle sessioni attive.

Il furto dei cookie rappresenta una minaccia particolarmente significativa perché può consentire agli attaccanti di accedere a servizi online senza conoscere direttamente le credenziali dell’utente e, in alcuni casi, di aggirare meccanismi di autenticazione multifattore. La disponibilità di questi dati permette inoltre di condurre campagne di furto d’identità, compromissioni di account aziendali e accessi non autorizzati a piattaforme cloud, servizi di posta elettronica e applicazioni collaborative.

Wallet di criptovalute e applicazioni finanziarie sono tra i bersagli principali

La campagna dedica particolare attenzione al settore delle criptovalute, da anni considerato uno dei più redditizi per gli operatori degli infostealer. Atomic macOS Stealer include moduli progettati per individuare e raccogliere informazioni da wallet come Exodus, Electrum, Atomic Wallet, Wasabi Wallet e Bitcoin Core. Il malware cerca file di configurazione, chiavi private, dati di autenticazione e altri elementi che possano facilitare il furto diretto di asset digitali. Ancora più preoccupante è la capacità di sostituire installazioni legittime di Ledger Live e Trezor Suite con versioni manipolate che consentono agli attaccanti di intercettare operazioni finanziarie e ottenere il controllo delle transazioni.

Questa funzionalità trasforma l’infezione in una minaccia concreta non soltanto per la riservatezza dei dati ma anche per il patrimonio economico delle vittime.

Keychain, Safari, Apple Notes e applicazioni di messaggistica vengono compromessi

L’infostealer non si limita ai browser e ai wallet ma prende di mira numerosi componenti centrali dell’ecosistema Apple. Tra gli obiettivi figurano il Keychain, che contiene password e certificati di sistema, i cookie di Safari, i database di Apple Notes e le applicazioni di messaggistica come Telegram Desktop e Discord. Il malware cerca inoltre documenti in formato PDF, TXT e RTF memorizzati sul dispositivo, ampliando la quantità di informazioni potenzialmente esfiltrate. Questa varietà di bersagli rende ogni infezione estremamente preziosa per gli operatori criminali, che possono ottenere contemporaneamente accessi digitali, informazioni personali, documenti sensibili e dati finanziari. La combinazione di tutte queste fonti permette di costruire profili dettagliati delle vittime e di utilizzarli per ulteriori campagne di phishing, frode o compromissione di account.

Le tecniche di evasione sfruttano la fiducia degli utenti nel Terminale

Uno degli aspetti più efficaci della campagna riguarda l’utilizzo del Terminale come vettore principale dell’infezione. Molti utenti percepiscono l’esecuzione di comandi come una procedura tecnica legittima, soprattutto quando viene presentata come parte di un controllo di sicurezza o di una verifica di autenticazione. Gli attaccanti sfruttano questa fiducia per convincere la vittima a eseguire volontariamente istruzioni che avviano l’intera catena di compromissione. Il malware può inoltre visualizzare finestre che imitano richieste di autenticazione di sistema, inducendo l’utente a inserire la password amministrativa di macOS. Questa combinazione di social engineering e abuso di strumenti nativi consente agli aggressori di evitare l’utilizzo di exploit complessi e di ottenere comunque privilegi elevati sul dispositivo compromesso. I ricercatori hanno identificato infrastrutture di comando e controllo associate a domini come svs-verificationdate[.]beer e indirizzi IP tra cui 196.251.107[.]171, utilizzati per la distribuzione del malware e la raccolta dei dati sottratti.

ClickFix continua a dimostrare la centralità del fattore umano

L’evoluzione osservata in questa campagna conferma che il successo delle moderne operazioni cyber dipende sempre meno dalle vulnerabilità software e sempre più dalla capacità di manipolare il comportamento delle vittime. La nuova variante ClickFix per macOS elimina gran parte delle interazioni manuali richieste nelle campagne precedenti e sfrutta esclusivamente strumenti legittimi del sistema operativo per scaricare, montare ed eseguire il payload malevolo. L’adozione del montaggio invisibile dei file DMG attraverso hdiutil -nobrowse rappresenta un significativo passo avanti nell’automazione delle infezioni e dimostra come gli operatori criminali continuino a perfezionare le proprie tecniche contro l’ecosistema Apple. La presenza di Atomic macOS Stealer come payload finale conferma inoltre il crescente interesse dei gruppi cybercriminali verso credenziali, wallet digitali e dati personali conservati sui dispositivi macOS, rendendo sempre più importante diffidare di qualsiasi richiesta che inviti a eseguire comandi provenienti da siti web non verificati.