Security researchers at Malwarebytes hanno individuato una campagna malware rivolta agli utenti macOS tramite un sito fraudolento che si finge il popolare utility di sistema CleanMyMac. L’operazione distribuisce un malware che ruba informazioni progettato per raccogliere password, dati di portafogli di criptovalute e altre informazioni sensibili da dispositivi infetti.
La campagna malevola si basa su un sito web falso che imita da vicino la pagina legittima del prodotto CleanMyMac. CleanMyMac è uno strumento di manutenzione e ottimizzazione per macOS sviluppato da MacPaw e utilizzato da milioni di utenti Mac per gestire lo storage e le prestazioni del sistema. Il sito degli attaccanti si presenta come un portale di download per il software, ma non è collegato a MacPaw né all’applicazione ufficiale CleanMyMac.
Secondo i ricercatori di sicurezza, la pagina falsa indirizza i visitatori verso un dominio progettato per assomigliare a un sito legittimo. Alle vittime viene istruito ad aprire l’applicazione Terminal sul loro Mac e incollare un comando fornito sulla pagina. L’esecuzione del comando scarica e installa malware direttamente da un server controllato dall’attaccante.
La tecnica utilizzata nell’attacco è nota come “ClickFix”, un metodo di ingegneria sociale che persuade gli utenti a eseguire comandi dannosi da soli. Poiché il comando viene eseguito volontariamente dall’utente, molte delle protezioni integrate di macOS, come Gatekeeper, i controlli notarili e XProtect, non bloccano l’installazione.
Una volta eseguito, il comando installa SHub Stealer, un malware che ruba informazioni su macOS. Il malware è progettato per raccogliere dati sensibili dal sistema compromesso, inclusi dati del browser, password salvate, informazioni su Apple Keychain, file di wallet di criptovalute e sessioni di piattaforme di messaggistica come Telegram.
I ricercatori hanno anche osservato che il malware tenta di modificare alcune applicazioni di portafogli di criptovalute affinché gli attaccanti possano successivamente accedere a frasi di recupero o altre informazioni di autenticazione. Le applicazioni per portafogli potenzialmente prese di mira includono Exodus, Atomic Wally e software correlati a Ledger.
La sequenza di attacco inizia con un piccolo script di loader che prepara il sistema prima che venga consegnato il carico completo. In alcuni casi, lo script controlla le impostazioni di sistema per determinare la posizione del dispositivo o la configurazione della lingua prima di proseguire con il processo di infezione.
Dopo l’installazione, il malware può rimanere sul sistema e continuare a comunicare con l’infrastruttura controllata dagli attaccanti. Oltre a rubare dati, i ricercatori affermano che il malware può lasciare una backdoor persistente che permette agli attaccanti di mantenere l’accesso anche dopo la raccolta iniziale dei dati.
La campagna evidenzia come gli attaccanti si affidano sempre più all’ingegneria sociale invece che a sfruttare vulnerabilità tecniche. Convincendo le vittime a eseguire i comandi manualmente, il malware bypassa molte delle difese automatiche progettate per proteggere i sistemi macOS.
I ricercatori di sicurezza raccomandano di scaricare software solo dai siti ufficiali degli sviluppatori o dagli store di app affidabili. Consigliano inoltre agli utenti di considerare sospetto qualsiasi sito web che li istruisca a incollare comandi nel Terminal, poiché le applicazioni legittime raramente richiedono questo metodo di installazione.