ClickFix: la truffa che inganna gli utenti Mac e installa il trojan AMOS

Redazione RHC : 23 Settembre 2025 16:25

I criminali informatici hanno lanciato una campagna su larga scala contro gli utenti macOS, camuffando malware da programmi popolari. Lo ha segnalato LastPass, che ha scoperto che anche il suo prodotto era stato falsificato. Il malware viene distribuito tramite falsi repository GitHub ottimizzati per i motori di ricerca, che gli consentono di apparire in cima ai risultati di ricerca di Google e Bing.

L’attacco utilizza lo schema ClickFix: alla vittima viene chiesto di inserire un comando nel terminale, presumibilmente per installare un’applicazione. In realtà, la vittima esegue una richiesta curl a un URL crittografato e scarica lo script install.sh nella directory /tmp.

Questo file installa il trojan Atomic Stealer (AMOS) sul computer. AMOS è uno strumento MaaS (Malware-as-a-Service) il cui noleggio costa 1.000 dollari al mese. La sua funzione di base è rubare dati dai dispositivi infetti, ma i suoi creatori hanno recentemente aggiunto una backdoor per un accesso furtivo e persistente al sistema.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo LastPass, i truffatori non si limitano a copiare un singolo marchio. L’elenco dei programmi contraffatti supera i 100 e include soluzioni come 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion , Gemini, Audacity, Adobe After Effects, Thunderbird e SentinelOne.

Per aggirare le restrizioni, i truffatori creano diversi account GitHub falsi e repository duplicati con un pulsante “Download”. Cliccando su questo pulsante si accede a un sito web secondario contenente le istruzioni per eseguire un comando nel terminale.

Scenari simili per macOS sono già stati documentati in precedenza. Rapporti precedenti includevano copie di Booking.com e pseudo-programmi per “risolvere problemi” nel sistema, distribuiti tramite annunci pubblicitari. La campagna attuale è significativamente più ampia: l’automazione consente la rapida riattivazione di nuove pagine dopo il blocco.

LastPass sottolinea che monitora costantemente la situazione e inoltra segnalazioni di progetti falsi all’amministrazione di GitHub, ma la minaccia rimane a causa della facilità di creazione di nuove risorse.

Gli esperti ricordano agli utenti di fidarsi solo dei siti web ufficiali degli sviluppatori. Se il produttore non offre una versione macOS di un prodotto, l'”alternativa” sarà quasi certamente dannosa.

Nei casi in cui un’app sia disponibile, è importante verificare che sia distribuita da una fonte attendibile e non da una terza parte sconosciuta.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli