Una nuova sofisticata campagna malware denominata macOS ClickFix sta mettendo a rischio i dispositivi aziendali, sfruttando tecniche di ingegneria sociale per aggirare le protezioni native del sistema operativo Apple. Secondo un rapporto pubblicato da Netskope Threat Labs, gli aggressori convincono gli utenti a eseguire comandi apparentemente innocui nel Terminale, portando all'installazione di un ladro di informazioni basato su AppleScript e di un trojan di accesso remoto persistente.
Come funziona l'attacco ClickFix: ingegneria sociale e comandi fasulli
La campagna si basa su siti web compromessi o controllati dagli attaccanti che imitano servizi legittimi. I ricercatori hanno trovato pagine false di utilità per l'ottimizzazione di macOS, repository GitHub contraffatti e persino pagine di supporto IT localizzate. Questi siti istruiscono le vittime a copiare e incollare manualmente un comando specifico nel Terminale di macOS. Quando l'utente clicca sul pulsante di copia, un JavaScript malevolo inserisce silenziosamente la stringa di esecuzione negli appunti. Eseguendo il comando nel Terminale, si scarica uno script che opera interamente in memoria, senza lasciare tracce sul disco locale, eludendo così i normali scanner antimalware.
Sponsored Protocol
Il furto di password e dati tramite finestre di dialogo false
Una volta attivato il payload secondario, il malware mostra una falsa finestra di dialogo delle Preferenze di Sistema di macOS, chiedendo all'utente di inserire la propria password di login per aggiornare le impostazioni. Se la vittima digita la password, il malware la utilizza per sbloccare il portachiavi di macOS e iniziare a estrarre password salvate, cookie di sessione e dati da app di messaggistica. Inoltre, il malware prende di mira ben 25 portafogli desktop per criptovalute: uccide l'app legittima in esecuzione, sovrascrive il bundle dell'applicazione con una versione troianizzata e forza una firma di codice ad hoc, ripristinando una firma strutturalmente valida che permette all'app modificata di avviarsi senza attivare gli avvisi di Gatekeeper.
Sponsored Protocol
Accesso remoto persistente tramite processo camuffato
Per mantenere l'accesso a lungo termine, il payload installa un file di configurazione di background mascherato da processo di sistema Apple chiamato com.apple.accountsd. Questo processo contatta il server di comando e controllo ogni minuto, creando un loop di beaconing costante che consente all'aggressore di eseguire codice arbitrario sul Mac infetto in qualsiasi momento. La campagna dimostra quanto possa essere pericoloso un payload puramente scriptato su macOS, senza bisogno di vulnerabilità zero-day o exploit complessi del kernel: gli attaccanti usano semplicemente gli strumenti nativi del sistema contro l'utente.
Sponsored Protocol
Come proteggere le aziende: formazione e blocco del Terminale
Per i reparti IT, questa minaccia evidenzia la necessità di una formazione continua sulla sicurezza. Gli utenti devono essere istruiti a non incollare mai comandi sconosciuti nel Terminale, per quanto il sito web possa sembrare legittimo. Potrebbe diventare necessario bloccare l'accesso al Terminale sui Mac aziendali per molti ruoli. Inoltre, è fondamentale adottare soluzioni di protezione avanzata come piattaforme unificate per la gestione dei dispositivi Apple. Per approfondire la protezione dei dati personali, leggi il nostro articolo su come rimuovere i dati personali da Internet. Per ulteriori informazioni sulle tecniche di ingegneria sociale, consulta la pagina Wikipedia sull'ingegneria sociale.
Fonte: https://9to5mac.com/2026/07/18/macos-clickfix-campaign