Una nuova campagna malware chiamata ClickFix sta prendendo di mira i Mac, e la cosa preoccupante è che riesce a superare proprio quelle difese che Apple aveva messo in piedi di recente per bloccare questo tipo di minacce. A scoprirla sono stati i ricercatori di Jamf, società specializzata in software di gestione per l’ecosistema Apple, che hanno reso pubblica la notizia nelle ultime ore.
Il cuore dell’attacco è un vecchio conoscente: si tratta di Atomic Stealer, un infostealer già noto nel panorama della sicurezza informatica. La differenza, questa volta, è che i criminali hanno sviluppato una variante pensata appositamente per aggirare le contromisure introdotte da Apple con macOS 26.4. Quella versione del sistema operativo aveva aggiunto un sistema di scansione per i comandi incollati nel Terminale, proprio per arginare la diffusione di Atomic Stealer. Le versioni precedenti del malware, infatti, funzionavano inducendo l’utente a copiare e incollare comandi nel Terminale, facendogli credere che si trattasse di una procedura per ripulire il sistema.
Il problema è che gli autori di ClickFix hanno trovato il modo di spostare tutta la catena di infezione altrove. Invece del Terminale, ora il percorso passa da Script Editor, con una procedura guidata che appare molto meno sospetta agli occhi di chi la subisce.
Come funziona l’attacco di ClickFix su macOS
Il meccanismo è piuttosto subdolo. Tutto parte da una pagina web che simula un avviso di sistema, uno di quelli che segnalano spazio di archiviazione insufficiente sul Mac. L’interfaccia propone una sequenza di passaggi apparentemente credibili, fino a un pulsante “Execute”. Quando l’utente ci clicca, il browser (tipicamente Safari) chiede il permesso di aprire Script Editor tramite uno schema URL dedicato. Il prompt sembra del tutto legittimo, il che aumenta notevolmente le probabilità che l’utente acconsenta senza pensarci troppo.
Una volta aperta l’applicazione, compare uno script precompilato presentato come una utility di pulizia. L’utente viene invitato a eseguirlo manualmente. Se cade nel tranello, parte in background una serie di comandi offuscati che scaricano il malware vero e proprio e lo eseguono direttamente in memoria. Il primo malware ha un compito specifico: rimuovere le misure di sicurezza necessarie al secondo componente malevolo, che viene scaricato in una fase successiva e si occupa di rubare informazioni sensibili dal sistema infettato. È un attacco in due fasi, insomma, dove ogni passaggio è pensato per sembrare ragionevole e per non far scattare campanelli d’allarme evidenti.
Al momento non esiste una vera protezione tecnica contro un attacco di questo tipo, a parte il buon senso. macOS non si affida a script avviati dal browser per ripulire il sistema, e questo è un punto fondamentale da tenere a mente. Qualsiasi richiesta di apertura di Script Editor o di esecuzione di codice fuori dai tool integrati del sistema operativo dovrebbe essere considerata automaticamente sospetta.
