Una nuova campagna malware sta prendendo di mira gli utenti macOS sfruttando una tattica di social engineering chiamata ClickFix per diffondere il pericoloso trojan rubadati Atomic Stealer, noto anche come AMOS. I ricercatori di sicurezza informatica hanno rilevato che questa campagna si basa su domini typosquat che imitano il noto provider statunitense Spectrum, inducendo gli utenti a visitare pagine web contraffatte come panel-spectrum[.]net o spectrum-ticket[.]net.

Una volta atterrati su questi siti, gli utenti vengono invitati a superare un controllo CAPTCHA per presunte ragioni di sicurezza. Dopo aver cliccato sulla casella “I am human”, compare un messaggio di errore che invita a effettuare una “Verifica alternativa”. Seguendo le istruzioni, viene copiato negli appunti un comando che, se eseguito tramite Terminale su macOS, installa uno script malevolo. Questo script richiede la password dell’utente, esegue comandi nativi per sottrarre credenziali, aggirare i controlli di sicurezza e scaricare una variante di Atomic Stealer per ulteriori attività dannose.

Infrastruttura e indizi sulla provenienza

La presenza di commenti in lingua russa nel codice sorgente del malware suggerisce che la campagna sia gestita da cybercriminali russofoni. Gli autori hanno creato in fretta un’infrastruttura di consegna poco curata, con indicazioni errate e istruzioni che talvolta non corrispondono al sistema operativo rilevato. Ad esempio, per gli utenti Linux viene copiato un comando PowerShell invece di uno shell script, e la stessa istruzione “Premi e tieni premuto il tasto Windows + R” appare sia su Windows che su Mac.

Tecnica ClickFix e famiglie di malware coinvolte

ClickFix si è diffusa di recente come tecnica molto efficace per la distribuzione di diverse famiglie di malware, sfruttando l’abitudine degli utenti a cliccare rapidamente su CAPTCHA e controlli di sicurezza ritenuti ormai routine. Gli attacchi sfruttano spesso pagine identiche a quelle reali di servizi CAPTCHA come Google reCAPTCHA o Cloudflare Turnstile, inducendo in inganno anche utenti esperti. Sono stati segnalati altri malware distribuiti con questa tecnica, tra cui Lumma, StealC e RAT come NetSupport.

Obiettivi e rischi per gli utenti

L’obiettivo finale di queste campagne è ottenere l’accesso iniziale ai sistemi, esfiltrare dati sensibili e aggirare le difese di sicurezza sfruttando l’errore umano. Gli esperti sottolineano come la “fatica da verifica” porti molti utenti a seguire acriticamente qualsiasi procedura appaia “normale”, esponendoli così a rischi sempre più sofisticati.