Negli ultimi tempi la catena di attacchi nota come ClickFix ha ampliato il proprio raggio d’azione arrivando anche su macOS. L’inganno è semplice ma efficace: una ricerca per recuperare spazio porta a una pagina che sembra ufficiale, dove con un solo clic viene proposto di eseguire uno script. Dietro quella procedura si nasconde il download di payload successivi e, alla fine, del pericoloso Atomic Stealer. In questo contesto è fondamentale comprendere il meccanismo dell’attacco e imparare a riconoscere i segnali di allarme prima che il danno sia fatto. In questa panoramica vedremo come funziona la trappola e quali contromisure adottare.
Apple ha introdotto protezioni per contrastare il copia-incolla di comandi nel Terminale, incluse avvertenze su macOS 26.4, ma gli attaccanti hanno trovato una via alternativa passando per il Script Editor.
Se eseguito, lo script scarica ulteriori componenti che estraggono dati sensibili dal sistema: dal Keychain alle estensioni dei wallet per criptovalute, fino a cookie e informazioni di pagamento salvate nel browser. L’obiettivo è ottenere credenziali, finanziare furti o installare una backdoor per accessi futuri persistenti.
Come si svolge l’attacco
La tecnica sfrutta il fattore umano e una presentazione credibile: il sito contraffatto imita l’aspetto di una pagina Apple e propone un pulsante per «liberare spazio». Cliccando, il browser invoca Script Editor con uno script precompilato; se l’utente lo esegue, vengono scaricati altri script in sequenza fino all’installazione di Atomic Stealer. Questo flusso si avvale di meccanismi come Universal Links o handler che aprono applicazioni locali dal browser, rendendo l’interazione apparentemente innocua ma rischiosa.
Capire questo passaggio è cruciale per evitare l’esecuzione involontaria di codice malevolo.
Dettagli tecnici essenziali
Il payload finale può essere distribuito tramite file montabili o app eseguibili che una volta lanciati estraggono credenziali dal Keychain, dai browser e dalle estensioni dei wallet. Gli script iniziali sono spesso in AppleScript o JXA (JavaScript for Automation) e usano comandi di rete per scaricare componenti aggiuntivi con strumenti come curl. Anche se le versioni più recenti di macOS mostrano avvisi quando si tenta di eseguire script, molte installazioni non aggiornate non ricevono tali protezioni e risultano quindi vulnerabili.
Come riconoscere e fermare la trappola
Per ridurre il rischio bisogna adottare poche regole chiare: non cliccare su pulsanti che promettono soluzioni rapide da pagine non ufficiali, verificare sempre l’URL e preferire le guide presenti sui canali Apple.
Attiva Gatekeeper e mantieni aggiornati XProtect e il sistema operativo; utilizza software di sicurezza affidabili e controlla le estensioni del browser. In caso di sospetto, chiudi il browser, riavvia in Modalità sicura e avvia una scansione completa. Una reazione rapida può limitare l’esfiltrazione dei dati e facilitare il ripristino.
Indicatori e azioni pratiche
Segnali che indicano compromissione includono file sospetti nella cartella Library (ad esempio nomi riconducibili a amos.dmg), processi inusuali e connessioni verso domini non riconosciuti. Bloccare applicazioni non richieste tramite TCC, esaminare i log di sistema e usare tool come Little Snitch o OSQuery per monitorare connessioni e processi aiuta a individuare attività anomale. Per gli utenti avanzati, disabilitare handler che aprono automaticamente Script Editor può interrompere l’attacco a monte.
Perché è urgente mettere in sicurezza il Mac
L’impatto di un’infezione va oltre la perdita di file: credenziali trafugate possono alimentare truffe finanziarie, il furto di accesso ai wallet può comportare perdite economiche dirette e una backdoor consente ritorni non autorizzati nel tempo. Le campagne come ClickFix evolvono rapidamente, sfruttando anche tecnologie per rendere i lures più convincenti. Per questo motivo è essenziale aggiornare i dispositivi, educare familiari e colleghi e adottare una strategia multilayer che includa prevenzione, rilevamento e risposta.
In conclusione, la migliore difesa resta la cautela: non eseguire mai script da fonti non verificate e verifica sempre che le istruzioni provengano da canali ufficiali. Con semplici buone pratiche e alcune soluzioni tecniche è possibile ridurre sensibilmente il rischio rappresentato da questa nuova variante di ClickFix.
