Chi pensava di aver visto tutto in fatto di truffe informatiche deve ricredersi. Gli attacchi ClickFix stanno prendendo strade sempre più creative e questa volta a finire nel mirino sono anche gli utenti Mac, non più soltanto chi usa Windows. I ricercatori dei Jamf Threat Labs hanno scoperto una campagna che usa le inserzioni pubblicitarie su X per colpire chi possiede un computer Apple. E come se non bastasse, sul fronte Windows è spuntata una nuova variante battezzata ConsentFix, individuata dagli esperti di Huntress.
Il meccanismo di fondo resta quello di sempre. I cybercriminali vogliono mettere le mani su dati personali e accessi agli account, e per farlo cambiano continuamente approccio. Quello che colpisce, stavolta, è la sfrontatezza con cui usano piattaforme legittime per ingannare le vittime.
Come funziona l’attacco ClickFix su macOS
Di solito questo tipo di attacco parte da una mail di phishing oppure da un sito visitato dopo una ricerca online. Qui invece il punto di partenza è stato X. Un account verificato, con tanto di spunta blu a dare un’aria di affidabilità, ha pubblicato un’inserzione per una utility dedicata a macOS chiamata DynamicLake. L’app prometteva di aggiungere una Dynamic Island nella parte alta dello schermo, quel piccolo elemento diventato familiare su iPhone.
Cliccando sull’annuncio si finiva su un sito costruito ad hoc. Per scaricare l’applicazione bisognava premere il pulsante “Installa Now”, ma anziché avviare un normale download comparivano dei comandi da copiare e incollare nel Terminale. Ed è proprio qui che scatta la trappola. Chi seguiva le istruzioni non installava nessuna Dynamic Island, ma una versione recente di AMOS, acronimo di Atomic macOS Stealer, un malware costruito apposta per rubare una gran quantità di informazioni personali. Dopo la segnalazione dei ricercatori, X ha tolto l’inserzione dalla circolazione.
ConsentFix, la versione pensata per Windows
Sul versante Microsoft la storia cambia leggermente, ma la logica è simile. Con ConsentFix i criminali non chiedono di eseguire comandi che scaricano malware. La richiesta è più subdola. All’utente viene chiesto di accedere al proprio account Microsoft con la scusa di scaricare un documento ospitato su Dropbox.
Il problema è cosa succede dietro le quinte. Effettuando l’accesso, i malintenzionati riescono a ottenere i token di sessione. Con quelli in mano possono entrare nell’account senza bisogno della password e, dettaglio non da poco, aggirando anche l’autenticazione multifattore. A quel punto hanno via libera per leggere le email e frugare tra gli altri dati personali.