I ricercatori della sicurezza informatica stanno avvisando una nuova campagna di malware che impiega il ClickFix Tattica di ingegneria sociale per ingannare gli utenti nel obtain di un malware per il furto di informazioni noto come atomic macOS Stealer (Amos) sui sistemi Apple MacOS.
La campagna, secondo Cloudsek, è stata trovata per sfruttare i domini TypiSquat che imita lo spettro del fornitore di telecomunicazioni con sede negli Stati Uniti.
“Agli utenti di MacOS viene servito uno script di shell dannoso progettato per rubare le password di sistema e scaricare una variante AMOS per un ulteriore sfruttamento”, il ricercatore della sicurezza Koushik Pal disse In un rapporto pubblicato questa settimana. “Lo script utilizza i comandi MACOS nativi per raccogliere le credenziali, bypassare i meccanismi di sicurezza ed eseguire binari dannosi.”
Si ritiene che l’attività sia opera di criminali informatici di lingua russa a causa della presenza di commenti in lingua russa nel codice sorgente del malware.
Il punto di partenza dell’attacco è una pagina Internet che impersona Spectrum (“Panel-Spectrum (.) Web” o “Spectrum-Ticket (.) Web”). Ai visitatori dei siti in questione viene pubblicato un messaggio che gli ordina di completare un controllo della verifica HCAPTCHA al positive di “rivedere la sicurezza” della loro connessione prima di procedere ulteriormente.
Tuttavia, quando l’utente fa clic sulla casella di controllo “I Am Human” per la valutazione, viene visualizzato un messaggio di errore che indica “la verifica CAPTCHA non riuscita”, esortandoli a fare clic su un pulsante per andare avanti con una “verifica alternativa”.
Ciò fa copiare un comando negli appunti degli utenti e alla vittima viene mostrata una serie di istruzioni a seconda del loro sistema operativo. Mentre sono guidati a eseguire un comando PowerShell su Home windows aprendo la finestra di dialogo di Home windows Esegui, viene sostituito da uno script di shell che viene eseguito avviando l’app terminale su macOS.
Lo script Shell, per la sua parte, spinge gli utenti a inserire la password del sistema e scarica un payload in stadio successivo, in questo caso, un Rote Weler chiamato Atomic Stealer.
“La logica scarsamente implementata nei siti di consegna, come le istruzioni non corrispondenti su piattaforme, indica l’infrastruttura assemblata in fretta”, ha affermato Pal.
“Le pagine di consegna in questione per questa campagna variante AMOS contenevano inesattezze sia nella sua logica di programmazione che front-end. Per gli agenti utente di Linux, è stato copiato un comando PowerShell. Inoltre, l’istruzione ‘Premere e tenere il tasto Home windows + R’ è stato visualizzato su utenti di Home windows e Mac.”
La divulgazione arriva in mezzo a un aumento delle campagne utilizzando la tattica ClickFix per offrire una vasta gamma di famiglie di malware nell’ultimo anno.
“Gli attori che eseguono questi attacchi mirati in genere utilizzano tecniche, strumenti e process simili (TTP) per ottenere l’accesso iniziale”, DarkTrace disse. “Questi includono attacchi di phishing da lancia, compromessi drive-by o sfruttando la fiducia in piattaforme on-line familiari, come GitHub, per fornire carichi utili dannosi.”
I collegamenti distribuiti utilizzando questi vettori in genere reindirizzano l’utente finale a un URL dannoso che mostra un falso controllo della verifica CAPTCHA e lo completa nel tentativo di ingannare gli utenti nel pensare che stanno eseguendo qualcosa di innocuo, quando, in realtà, sono guidati a eseguire comandi dannosi per risolvere un problema non esistente.
Il risultato finale di questo efficace metodo di ingegneria sociale è che gli utenti finiscono per compromettere i propri sistemi, aggirando efficacemente i controlli di sicurezza.
In un incidente di aprile 2025 analizzato da Darktrace, gli attori delle minacce sconosciuti sono stati trovati per utilizzare ClickFix come vettore di attacco per scaricare carichi utili anonimi per scavare più in profondità nell’ambiente goal, condurre movimenti laterali, inviare informazioni relative al sistema a un server esterno tramite una richiesta di put up HTTP e alla positive exfiltrate.
“L’esca ClickFix è una tattica ampiamente usata in cui gli attori delle minacce sfruttano l’errore umano per aggirare le difese di sicurezza”, ha detto Darktrace. “Inveccando gli utenti endpoint nell’esecuzione di azioni apparentemente innocue e quotidiane, gli aggressori ottengono un accesso iniziale ai sistemi in cui possono accedere ed esfiltrarsi dati sensibili.”
Altri attacchi ClickFix hanno impiegato versioni false di altri famosi servizi CAPTCHA come Google Recaptcha e CloudFlare Turnstile per la consegna di malware con il pretesto dei controlli di sicurezza di routine.
Queste pagine false sono “copie perfette per i pixel” delle loro controparti legittime, a volte anche iniettate in siti Internet reali ma ottenuti per ingannare gli utenti ignari. Furti come Lumma E Furtocosì come Trojan (ratti) di accesso remoto a tutti gli effetti come RATO NETSupport sono alcuni dei payload distribuiti tramite pagine di TurnStile fasulle.
“I moderni utenti di Web sono inondati di controlli spam, captcha e istruzioni di sicurezza sui siti Internet e sono stati condizionati a fare clic su questi il più rapidamente possibile”, Daniel Kelley di Slashnext disse. “Gli aggressori sfruttano questa” fatica di verifica “, sapendo che molti utenti rispetteranno qualsiasi passo presentato se sembra di routine.”
