Dalla verifica CAPTCHA al data stealing: l’attacco ClickFix e il target macOS

ClickFix, la nuova minaccia per gli utenti macOS

Possiamo definire l’attacco ClickFix come una campagna malware molto evoluta e, per certi aspetti, abbastanza recente. Le prime segnalazioni e la sua identificazione sono infatti avvenute nel 2024.
La campagna si rivolge principalmente agli utenti macOS. Gli utilizzatori sono indotti a effettuare azioni che sembrano legittime, ma che in realtà avranno, come risultato, quello di infettare il dispositivo.

Per mettere a segno questa nuova campagna informatica, vengono di solito simulati problemi che in realtà non sono reali. In alternativa, all’utente viene richiesto di effettuare una verifica CAPTCHA che potrebbe sembrare regolare, ma che in realtà non lo è.

Il gruppo di hacker dietro ClickFix

Dato che l’attacco ClickFix ha attirato l’attenzione degli esperti in sicurezza informatica, sono state effettuate diverse indagini atte a scoprire gli hacker dietro questa pericolosa campagna.
Secondo gli esperti, l’attacco è gestito da gruppi di cybercriminali noti come Slavic Nation Empire e Scamquerteo.

Si tratta di gruppi hacker noti nell’ambito di crimini informatici, che si occupano principalmente di vendere servizi e strumenti MaaS, ossia i Malware-as-a-Service.
Non è detto che le due organizzazioni hacker operino in autonomia. Anzi, è possibile che sfruttino un’unica infrastruttura.

Un denominatore comune a entrambi i gruppi di cybercriminali è che i loro attacchi ClickFix molto spesso diffondono un particolare tipo di malware. Si tratta dello stealer, un programma malevolo che ruba informazioni e dati sensibili.

I mezzi usati dai cybercriminali per rubare dati e diffondere i malware

Per dare il via ad un attacco ClickFix, i cybercriminali hanno a disposizione diversi mezzi. Talvolta il malware viene veicolato con email di phishing, anche se spesso il mezzo di diffusione è rappresentato da azioni di malvertising e campagne SEO. In altre parole, per rubare i dati e diffondere il malware gli utenti vengono indirizzati su annunci e siti contraffatti.

Generalmente, una volta approdati sulle pagine falsificate, gli utenti vengono sottoposti a messaggi di errore. Vengono poi inviate delle istruzioni per poter porre rimedio al problema che però, in realtà, non esiste.

Di solito, gli utenti macOS sono invitati ad eseguire un comando malevolo nel loro dispositivo. Una volta eseguito, si installa l’applicazione malevola senza neppure averne la piena consapevolezza.

Come si presenta all’utente: falsi CAPTCHAs e messaggi di errore

Per evitare di diventare vittime dell’attacco ClickFix, è fondamentale individuarlo fin dalle prime battute. Per questo, analizzeremo ulteriormente i metodi più comuni utilizzati dagli hacker per colpire.

ClickFix spesso mostra finti CAPTCHAs o, in alternativa, falsi messaggi di errore. Quando all’utente viene chiesto di inserire un codice “per proteggere i contenuti” o per continuare una procedura, bisogna prestare attenzione. Dietro questa richiesta apparentemente innocua potrebbe celarsi un attacco.

Si tratta di messaggi che, all’apparenza, possono sembrare legittimi, ma in realtà non lo sono.
Talvolta è molto difficile distinguere un messaggio di errore reale da uno falso, perché spesso i cybercriminali, come vedremo a breve, si nascondono dietro nomi noti o servizi realmente esistenti.

Il vettore di attacco più comune: falsi repository GitHub

Abbiamo inoltre già detto che i messi per diffondere un attacco ClickFix sono moltissimi. Tuttavia, questa tipologia di campagna è spesso condotta utilizzando falsi repository GitHub.

Innanzitutto, i cybercriminali non creano pagine isolate, ma si dedicano a un preventivo lavoro SEO per ottimizzare diverse pagine. In questo modo, i criminali aggirano le difese dei motori di ricerca.
Detto altrimenti, agli utenti vengono mostrate le pagine malevole in cima alle SERP di Bing o Google. I risultati sembrano talmente reali che riescono ad attirare volumi di ricerca enormi. Un dettaglio che rende questo attacco pericolosissimo.

Il pericolo del trojan Atomic Stealer (AMOS)

ClickFix è un attacco molto versatile, attraverso il quale è possibile guidare l’utente all’installazione di qualsiasi tipo di malware. Tuttavia, gli esperti affermano che di solito la campagna conduce all’installazione del trojan Atomic Stealer (AMOS).
Spesso chiamato anche semplicemente AMOS, si tratta di uno strumento MaaS, ossia un Malwaree-as-a-Service.

Il malware consente agli hacker il data stealing, ossia il cosiddetto furto dei dati. Infatti, una volta installato nel dispositivo, lo infetta. L’accesso al dispositivo infetto è quasi invisibile e l’utente spesso non si rende neppure conto di essere vittima di un attacco.

I nomi più usati per veicolare lo strumento MaaS AMOS

Un altro aspetto che rendere l’attacco ClickFix particolarmente pericoloso è che, per veicolare lo strumento AMOS, vengono utilizzati nomi di grandi aziende.

Purtroppo l’elenco delle applicazioni contraffatte e sfruttate come veicolo per la campagna ha superato le centinaia. Tra i nomi più noti, si segnalano 1Password, Adobe After Effects, Audacity, Confluence, Dropbox, Fidelity, Gemini, Notion, Robinhood, SentinelOne e Thunderbird.

ClickFix, come difendersi dall’attacco

Sebbene si tratti di una campagna subdola, difendersi da un attacco ClickFix è possibile.

Innanzitutto, è bene diffidare di qualsiasi richiesta insolita. Non importa che il veicolo sia l’email, una chat o un messaggio su una pagina web: l’attacco potrebbe nascondersi ovunque, come abbiamo visto.

È bene verificare sempre l’effettiva provenienza di messaggi di errore o di CAPTCHAs. A volte, controllare attentamente un indirizzo web può mostrare alcune anomalie e salvare l’utente da un attacco informatico.