Security

Campagna ClickFix macOS diffonde infostealer

3 min di lettura

Riepilogo

Microsoft ha identificato una nuova campagna in stile ClickFix che prende di mira gli utenti macOS con false istruzioni di risoluzione dei problemi e utility ospitate su blog e piattaforme di contenuti. Invece di scaricare app, le vittime vengono indotte a eseguire comandi nel Terminal che aggirano i controlli tipici delle app su macOS e distribuiscono infostealer come Macsync, SHub Stealer e AMOS.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft sta monitorando un'evoluzione della campagna ClickFix che ora prende di mira gli utenti macOS tramite falsi contenuti di risoluzione dei problemi e istruzioni ingannevoli per l'installazione di utility. Questo è importante perché l'attacco si allontana dai tradizionali download di app e sfrutta invece comandi nel Terminal, aiutando gli attaccanti a evitare alcune delle protezioni che gli utenti si aspettano dalle normali installazioni di applicazioni su macOS.

Cosa c'è di nuovo

Microsoft afferma che gli attori delle minacce stanno pubblicando falsi consigli per macOS su siti web standalone, Medium, Craft e piattaforme simili basate sui contenuti degli utenti. Gli adescamenti spesso dichiarano di aiutare con problemi comuni come liberare spazio su disco o risolvere problemi di sistema.

I principali cambiamenti in questa campagna includono:

  • Agli utenti viene chiesto di incollare nel Terminal comandi codificati in Base64 o offuscati
  • I comandi recuperano contenuti remoti e avviano loader basati su script
  • Gli attaccanti usano strumenti nativi come curl, osascript e interpreti della shell
  • Questo metodo evita i normali controlli in stile Gatekeeper applicati ai bundle di app aperti nel Finder
  • I payload osservati includono Macsync, SHub Stealer e AMOS

Microsoft ha inoltre identificato tre percorsi di esecuzione:

  • Loader install campaign
  • Script install campaign
  • Helper install campaign

In tutte queste varianti, l'obiettivo è coerente: raccogliere credenziali e file sensibili, stabilire persistenza ed esfiltrare dati.

Perché è importante per gli amministratori IT

Il malware va oltre il semplice furto di credenziali. Secondo Microsoft, questi infostealer possono raccogliere:

  • Voci del Keychain
  • Dati dell'account iCloud
  • Credenziali del browser
  • Dati di Telegram
  • File multimediali e documenti
  • Dati dei wallet di criptovalute

Alcune varianti sostituiscono anche app legittime di crypto wallet con versioni trojanizzate, aumentando il rischio di furto finanziario.

Per i team di sicurezza, la preoccupazione maggiore è l'esecuzione guidata dall'utente. Poiché la vittima esegue manualmente i comandi nel Terminal, gli attaccanti riducono la dipendenza da pacchetti app dannosi e aumentano la probabilità di una compromissione riuscita.

Azioni consigliate

Gli amministratori e i team di sicurezza dovrebbero adottare i seguenti passaggi:

  • Informare gli utenti di non incollare comandi nel Terminal presi da blog, forum o pagine di troubleshooting
  • Monitorare l'uso sospetto di curl, osascript, interpreti della shell e la creazione imprevista di LaunchAgent o LaunchDaemon
  • Analizzare percorsi di staging come /tmp/shub_<random ID> e creazioni insolite di archivi in /tmp
  • Esaminare i rilevamenti relativi a esfiltrazione di dati, richieste di credenziali e persistenza legate a falsi servizi di aggiornamento
  • Dare priorità alla protezione delle app legate alle criptovalute e degli archivi di dati sensibili degli utenti come Keychain

Conclusione

Questa campagna ClickFix macOS mostra come il social engineering si stia adattando per aggirare le difese tradizionali basate sulle app. Per i defender, la consapevolezza degli utenti, il monitoraggio degli endpoint e il rilevamento dell'esecuzione sospetta di script sono ora fondamentali per fermare queste catene di infostealer prima che i dati vengano rubati.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
macOS securityClickFixinfostealerMicrosoft Defendermalware

Articoli correlati

Security

Campagna phishing AiTM contro utenti Microsoft 365

Microsoft ha descritto una campagna di phishing adversary-in-the-middle (AiTM) su larga scala che ha usato false indagini sul codice di condotta per rubare token di autenticazione. L’attacco ha combinato social engineering sofisticato, pagine CAPTCHA intermedie e un flusso di accesso Microsoft legittimo, evidenziando perché contano protezioni resistenti al phishing e difese email più solide.

Security

CVE-2026-31431: minaccia escalation root Linux

Microsoft ha fornito dettagli su CVE-2026-31431, una vulnerabilità Linux ad alta gravità di local privilege escalation che può concedere accesso root sulle principali distribuzioni e sui carichi di lavoro ospitati nel cloud. Il problema è rilevante perché colpisce ambienti con kernel condiviso come container e Kubernetes, aumentando il rischio di container escape, movimento laterale e compromissione dell’host se i sistemi non vengono corretti rapidamente.

Security

Microsoft Agent 365 GA: sicurezza e controlli AI

Microsoft Agent 365 è ora generalmente disponibile per i clienti commerciali, offrendo ai team IT e di sicurezza un piano di controllo unificato per osservare, governare e proteggere gli agenti AI in Microsoft 365, sugli endpoint e negli ambienti cloud. Nuove funzionalità in anteprima estendono inoltre la visibilità a shadow AI, agenti locali Windows, piattaforme di agenti multicloud e controlli basati su criteri tramite Defender e Intune.

Security

Panorama minacce email Q1 2026: insights Microsoft

Microsoft segnala 8,3 miliardi di email di phishing rilevate nel Q1 2026, con il phishing tramite QR code più che raddoppiato e campagne protette da CAPTCHA in rapida evoluzione. I dati sono rilevanti per i team di sicurezza perché gli attaccanti si stanno spostando verso il furto di credenziali basato su link, mentre le attività di disruption contro Tycoon2FA dimostrano che un’azione coordinata può ridurre l’impatto del phishing.

Security

Aggiornamenti Microsoft Security per Agent 365

Microsoft ha annunciato nuove funzionalità di sicurezza per Agent 365, Defender for Cloud, GitHub Advanced Security e Microsoft Purview. Gli aggiornamenti puntano a migliorare la visibilità sull’attività degli agenti AI, rafforzare la protezione dal codice al runtime e accelerare le indagini sulla sicurezza dei dati per i team IT e di sicurezza.

Security

Revisioni del rischio CISO: 8 best practice Microsoft

Microsoft ha pubblicato un framework pratico per aiutare CISO e responsabili della sicurezza a condurre revisioni del rischio più efficaci in un contesto di minacce informatiche sempre più alimentate dall’AI. Le linee guida si concentrano su otto aree di revisione — da asset e applicazioni fino ad autenticazione, autorizzazione e isolamento di rete — per aiutare le organizzazioni a passare da una risposta reattiva a una riduzione proattiva del rischio.