Gli attacchi ClickFix sono spesso effettuati contro Windows. CrowdStrike ha scoperto che il recente bersaglio dei cybercriminali è macOS. L’obiettivo è installare sui Mac il nuovo malware Shamos, variante del noto Atomic macOS Stealer, per rubare le credenziali memorizzate nel browser e altri dati sensibili. Tra i paesi colpiti c’è anche l’Italia.
Descrizione dell’attacco ClickFix con Shamos
Gli attacchi sono in corso dal mese di giugno. Quando le ignare vittime cercano informazioni su Google, ad esempio una guida per svuotare la cache DNS o risolvere problemi con la stampante, vengono mostrati siti fasulli tramite malvertising. In tutti i casi, l’utente deve aprire il terminale di macOS e digitare o copiare il comando indicato.
Ovviamente non verrà eseguita l’azione pubblicizzata, ma il comando scaricherà uno script Bash dal server remoto che catturerà la password dell’utente e successivamente scaricherà Shamos. Un altro canale di distribuzione prevede l’uso dei repository di GitHub, dove i cybercriminali pubblicano tool gratuiti per macOS.
Il comando che installa Shamos rimuove anche gli attributi del file per aggirare la protezione di Gatekeeper e assegna i permessi di esecuzione. Il malware esegue una serie di comandi AppleScript per cercare e raccogliere dati sensibili, tra cui credenziali, file di wallet per criptovalute, dati Keychain e Apple Notes. I dati sono quindi aggiunti ad un archivio ZIP e inviati al server remoto.
CrowdStrike ha rilevato inoltre il download di altri payload, uno dei quali permette di aggiungere il Mac ad una botnet. Per ottenere la persistenza (avvio automatico di Shamos) viene creato un file Plist copiato nella directory LaunchDemons. Gli utenti non devono mai eseguire comandi trovati online. Meglio non cliccare sui link sponsorizzati di Google (spesso sfruttato per campagne di malvertising).