DeafNews
// 1 ZERO-DAY · 3 CVE NELLE ULTIME 24H
Malware

ClickFix macOS: quando l'utente bypassa da solo Gatekeeper

Published: Updated: By DeafSuite team 8 min read Malware
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Microsoft ha documentato la nuova evoluzione delle campagne ClickFix su macOS: da file DMG manuali a comandi Terminal che aggirano le protezioni native. Il rischio è

Microsoft ha pubblicato il 6 maggio 2026 un report dettagliato sull'evoluzione delle campagne ClickFix targeting macOS: gli operatori hanno abbandonato la consegna via file DMG che richiedevano installazione manuale per passare a istruzioni Terminal — osascript e interpreti shell — che aggirano direttamente le verifiche di Gatekeeper. La posta in gioco è il furto di dati iCloud, Keychain e wallet cryptocurrency, con la sostituzione di app legittime con versioni trojanizzate. Il cambio di metodo rende inefficace il tradizionale avviso "non installare app non verificate": l'utente è indotto a eseguire codice malevolo con le proprie mani, credendo di risolvere un problema tecnico.

Punti chiave
  • Da febbraio 2026 Microsoft osserva su macOS 3 campagne distinte — Loader, Script e Helper — con tecniche differenziate di staging e persistenza.
  • I payload documentati sono gli infostealer Macsync, Shub Stealer e AMOS, con obiettivi di esfiltrazione che includono dati iCloud, Keychain e chiavi wallet cryptocurrency.
  • La nuova delivery via Terminal sfrutta il fatto che gli script eseguiti direttamente tramite osascript o shell non sono sottoposti alle stesse verifiche di code signing e notarization previste per gli app bundle aperti da Finder.
  • Shub Stealer implementa un kill switch basato sul layout tastiera russo/CIS e raccoglie la password dell'utente tramite un prompt falso di installazione utility, validandola con il comando dscl . -authonly prima dell'esfiltrazione.

Da DMG manuali a comandi copia-incolla: l'evoluzione della catena di consegna

Le iterazioni precedenti della campagna ClickFix su macOS, come documentato da Microsoft, utilizzavano file immagine DMG che l'utente doveva scaricare, montare e installare manualmente. Questo metodo, sebbene efficace, lasciava ampie finestre di interruzione: Gatekeeper avvisava dell'assenza di firma, l'utente doveva superare esplicitamente le protezioni.

La variante osservata da febbraio 2026 ha invertito la logica. L'attacco ora si presenta come soluzione a problemi comuni — spazio disco insufficiente, errori di sistema, supposti conflitti software — pubblicata su blog di troubleshooting o forum. L'utente trova istruzioni passo-passo che terminano con un comando Terminal da copiare e incollare. Microsoft documenta 3 campagne distinte: Loader campaign, Script campaign e Helper campaign, ciascuna con varianti nel meccanismo di staging e nel payload finale.

Il pericolo è strutturale: quando l'utente esegue autonomamente uno script, non c'è bundle da firmare né notarizzare da bloccare. Gatekeeper verifica gli app bundle aperti tramite Finder, non i comandi digitati in Terminal.

"Unlike application bundles opened through Finder—which might be subjected to Gatekeeper verification checks such as code signing and notarization—scripts downloaded and launched directly through Terminal (for example, by using osascript or shell interpreters) don't undergo the same evaluation" — Microsoft Security Blog

Il meccanismo di Shub Stealer: prompt falso, validazione dscl e esfiltrazione

Shub Stealer rappresenta il payload più articolato documentato nel report Microsoft. Il loader si presenta come installazione di una utility helper, richiedendo la password dell'utente in un dialogo di sistema contraffatto. La credenziale non viene semplicemente raccolta: viene validata tramite il comando dscl . -authonly <username>, che verifica l'autenticità contro il database locale degli account macOS.

Dopo la validazione, il loader notifica il server C2 con l'evento password_obtained. Il componente FileGrabber raccoglie documenti con dimensione massima di 2 MB, escludendo file di sistema e applicazioni per concentrarsi su dati utente. Il kill switch basato sul layout tastiera russo/CIS permette di escludere macchine in quella regione, probabilmente per evitare ricadute giurisdizionali o per ottimizzare il targeting.

La persistenza è ottenuta tramite LaunchAgent posizionati in directory di sistema e mascherati da componenti legittimi: Microsoft cita esplicitamente il nome com.google.keystone.agent.plist, che imita l'agente di aggiornamento di Google Software Update. L'agente si attiva a intervalli regolari mantenendo la comunicazione con l'infrastruttura C2.

La sostituzione delle app wallet: quando il trojan è indistinguibile

Una delle conseguenze più gravi documentate è la sostituzione di applicazioni wallet cryptocurrency legittime con versioni trojanizzate. Microsoft identifica 3 target specifici: Trezor Suite, Ledger Wallet e Exodus. Il meccanismo non è una semplice sovrascrittura: le app originali vengono sostituite con pacchetti ZIP scaricati dal server C2 — app.zip per Ledger, apptwo.zip per Trezor, appex.zip per Exodus — che replicano l'interfaccia ma intercettano operazioni e credenziali.

L'utente che avvia quella che crede essere la propria app wallet legittima sta in realtà eseguendo codice controllato dagli operatori della campagna. Il furto non è limitato alle chiavi del wallet: i dati di navigazione, i cookie e le sessioni autenticate raccolti dagli infostealer ampliano la superficie di compromissione. Microsoft sottolinea che "the underlying goal remains the same in these campaigns: sensitive data collection, persistence, and exfiltration".

Cosa fare adesso

Il report Microsoft del 6 maggio 2026 indica che le policy di sicurezza tradizionali — incentrate sul blocco di app non verificate — non intercettano questo vettore. Le azioni specifiche derivabili dal dossier sono le seguenti:

Monitorare i LaunchAgent sospetti. Microsoft cita com.google.keystone.agent.plist come nome di persistenza mascherato. Verificare la presenza di questo file in ~/Library/LaunchAgents o /Library/LaunchAgents se non associato a un'installazione legittima di Google Software Update. Confrontare il percorso e la firma del plist con quelli dell'agente autentico.

Ispezionare le app wallet prima dell'uso. Se si utilizzano Trezor Suite, Ledger Wallet o Exodus, controllare che l'applicazione non sia stata sostituita da un archivio ZIP scaricato da server esterni. Il report documenta che le versioni trojanizzate arrivano come app.zip, apptwo.zip o appex.zip da infrastruttura C2.

Bloccare l'esecuzione di script Terminal da fonti non attendibili. Il vettore principale è l'ingegneria sociale che induce l'utente a copiare comandi osascript o shell da pagine web. Formare gli utenti a non incollare mai codice in Terminal senza verifica indipendente dello scopo di ogni comando.

Rilevare l'evento password_obtained. Il report descrive che Shub Stealer valida la password con dscl . -authonly e segnala il successo al C2. Monitorare esecuzioni anomale di dscl associate a processi non di sistema può indicare tentativi di raccolta credenziali in corso.

Domande frequenti

Gatekeeper non dovrebbe bloccare eseguibili malevoli anche da Terminal?

No. Secondo il report Microsoft, Gatekeeper applica verifiche di code signing e notarization agli app bundle aperti tramite Finder, non agli script eseguiti direttamente tramite interpreti shell o osascript in Terminal. È un comportamento documentato del sistema operativo, non una vulnerabilità exploitabile.

Le app wallet sostituite sono identificabili dall'utente?

Microsoft documenta che le app trojanizzate replicano l'interfaccia delle versioni legittime e vengono distribuite con nomi di file che mimano gli originali. La fonte non specifica se esistano differenze visibili o di firma digitale rilevabili manualmente dall'utente.

Il kill switch di Shub Stealer come funziona esattamente?

Il loader verifica il layout tastiera del sistema: se rileva configurazioni russe o del Commonwealth of Independent States (CIS), interrompe l'esecuzione. Microsoft non documenta se questo comportamento sia volto a escludere specifiche giurisdizioni dal targeting o a evitare attivazione accidentale in aree di interesse operativo degli sviluppatori.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Approfondimenti correlati

  • OXLOADER: Google Ads malevoli congiano infostealer
  • WhatsApp weaponizzato: VBS e RMM in DM da contatti compromessi
  • Il malware 'robase' svuota giochi interi su Roblox: da furto di cappelli a

Fonti

Fonti e riferimenti
  1. microsoft.com
  2. thehackernews.com