Nuovo attacco ClickFix installa AMOS sui Mac

I ricercatori di Palo Alto Networks hanno descritto una nuova campagna ClickFix che prende di mira gli utenti Mac. È una variante degli attacchi effettuati negli ultimi mesi. Lo scopo finale è invece identico, ovvero installare il famigerato AMOS (Atomic macOS Stealer).

Download, montaggio ed esecuzione

ClickFix è una nota tecnica di ingegneria sociale. Quando le ignare vittime visitano un sito compromesso o creato ad hoc dai cybercriminali viene mostrato un messaggio di errore del browser, un avviso di sicurezza o un CAPTCHA. Ovviamente è tutto falso. Lo scopo è convincere l’utente a seguire le istruzioni indicate. Nel caso di macOS devono essere copiate ed eseguite nel Terminale.

Per risolvere un CAPTCHA e dimostrare di non essere un bot è necessario copiare una serie di comandi concatenati (incomprensibili alla maggioranza degli utenti). Se vengono eseguiti inizia la catena di infezione. Un file DMG viene scaricato da un server e copiato in una directory temporanea senza nessuna conferma visiva.

L’immagine viene montata con il comando “hdiutil attach -nobrowse“, senza visualizzazione nel Finder o sul desktop. Lo script cerca quindi un installer .app o .pkg e, se trovato, viene eseguito con il comando “open“. In questo caso, l’installer è NNApp.app, ovvero AMOS.

L’infostealer mostra una falsa schermata di autenticazione per rubare la password dell’utente. A questo punto inizia a raccogliere credenziali, dati delle carte di credito e cookie da Google Chrome e altri browser basati su Chromium, oltre che da Firefox e derivati.

Il malware esfiltra inoltre messaggi di Discord e Telegram, documenti e dati da 13 wallet di criptovalute. I dati vengono infine aggiunti ad un archivio ZIP e inviati al server remoto. Il consiglio è ovviamente non copiare nulla nel Terminale. A partire da macOS 26.4 viene mostrato un avviso di pericolo, ma i cybercriminali hanno già trovato il modo per aggirare la protezione.