I ricercatori hanno scoperto che i criminali informatici utilizzano risultati di ricerca sponsorizzati e chat condivise su Claude per attirare le vittime in un tipico attacco ClickFix finalizzato all'installazione di malware sui dispositivi macOS.
ClickFix è una tecnica di ingegneria sociale che induce gli utenti a infettare il proprio dispositivo con malware. Agli utenti viene chiesto di eseguire comandi specifici che download , solitamente un programma di furto di dati.
I ricercatori hanno scoperto che quando gli utenti cercano termini come «Claude Mac download», potrebbero visualizzare risultati sponsorizzati di Google che sembrano rimandare al dominio legittimo claude.ai.
In realtà, gli annunci rimandano a vere e proprie chat condivise da Claude, configurate in modo da sembrare guide ufficiali di “Claude Code su Maco del Supporto Apple. Una ricerca indipendente condotta da BleepingComputer ha individuato un’altra chat con lo stesso scopo. La chat istruisce le vittime ad aprire Terminale e incollare un comando codificato in base64, che scarica uno script shell di caricamento da un’infrastruttura controllata dall’autore dell’attacco e lo esegue in memoria.
Lo script esegue quindi un'analisi del sistema, scarica un payload di seconda fase e lo esegue tramite osascript, il motore di scripting integrato in macOS. Ciò consente all'autore dell'attacco di ottenere l'esecuzione remota di codice (RCE) senza mai distribuire un'applicazione o un file binario tradizionale.
Il risultato è un payload simile a MacSync che raccoglie le credenziali del browser, i cookie, i contenuti del portachiavi e i dati dei portafogli crittografici, li raggruppa e invia tutte queste informazioni tramite HTTP ai server degli hacker.
Come stare al sicuro
Gli utenti che utilizzano macOS Tahoe 26.4 e versioni successive riceveranno avvisi relativi a possibili attacchi ClickFix, mentre gli altri utenti dovranno continuare ad affidarsi al buon senso.
Con ClickFix che imperversa e inventa continuamente nuovi metodi, è importante rimanere vigili, cauti e protetti.
- Prenditi il tempo necessario. Nonaffrettarti a seguire le istruzioni riportate su una pagina web o in un messaggio, soprattutto se ti viene chiesto di eseguire comandi sul tuo dispositivo o di copiare e incollare del codice. Gli hacker fanno leva sul senso di urgenza per aggirare il tuo pensiero critico, quindi fai attenzione alle pagine che ti spingono ad agire immediatamente. Le pagine ClickFix più sofisticate utilizzano countdown, contatori di utenti o altre tattiche intimidatorie per indurti ad agire in fretta.
- Evita di eseguire comandi o script provenienti da fonti non attendibili. Noneseguire maicodice o comandi copiati da siti web, e-mail o messaggi, a meno che tu non ti fidi della fonte e non comprenda chiaramente l'effetto dell'operazione.
- Verifica le istruzioni autonomamente. Seun sito web ti chiede di eseguire un comando o di compiere un'operazione tecnica, controlla la documentazione ufficiale o contatta l'assistenza prima di procedere.
- Limitare l'uso del copia-incolla per i comandi.Digitare manualmentei comandi invece di copiarli e incollarli può ridurre il rischio di eseguire inconsapevolmente payload dannosi nascosti nel testo copiato.
- Proteggi i tuoi dispositivi. Utilizza un sistema aggiornato e in tempo reale soluzione anti-malware con protezione web. Malwarebytes le connessioni a siti non sicuri come questi.
- Informati sulle tecniche di attacco in continua evoluzione.Essere consapevoli del fatto che gli attacchi possono provenire da fonti inaspettate aiuta a mantenere alta la vigilanza. Continua a seguire il nostro blog!
- Diffidate degli annunci sponsorizzati nei risultati di ricerca. Chiunque può acquistarli e farli sembrare autentici.
Consiglio da esperto:il programma gratuito Malwarebytes Browser Guard ti avvisa quando un sito web cerca di copiare qualcosa negli appunti.
Blocca le minacce prima che possano causare danni.
Malwarebytes Browser Guard automaticamente le pagine di phishing e i siti dannosi. È gratuito e si installa con un solo clic. Aggiungilo al tuo browser →
