← Tornar als articles
Seguretat· 3 min de lectura

ClickFix a macOS: un CAPTCHA fals munta un DMG en silenci per colar Atomic Stealer

Hi ha una nova variant dels atacs ClickFix dirigida a macOS, i la gràcia és que gairebé tota la feina bruta la fan eines que ja venen amb el sistema. Els investigadors d’Unit 42 (Palo Alto Networks) van documentar la campanya, que acaba amb Atomic macOS Stealer, més conegut com a AMOS, a la màquina de la víctima.

Com funciona l’engany

El punt de partida és una pàgina falsa que imita una verificació CAPTCHA. En lloc de marcar la casella de sempre, el web et demana que obris el Terminal i enganxis una ordre per “completar la verificació”. Aquesta ordre és el parany.

El que executes descarrega un fitxer DMG amb curl fent servir els flags -fsSL (mode silenciós, sense barra de progrés ni missatges), el desa a /tmp amb un nom aleatori i tot seguit llança:

hdiutil attach -nobrowse

El paràmetre -nobrowse munta la imatge de disc sense que aparegui al Finder, així que no veus cap volum nou a l’escriptori ni a la barra lateral. L’script recorre fins a tres nivells de directoris dins la imatge buscant un .app o un .pkg i, quan el troba, l’arrenca amb l’ordre open de macOS. Tot automàtic, sense més clics per part teva.

En el cas analitzat, el DMG es deia s.01M0td.dmg i contenia NNApp.app, un bundle autofirmat. La infraestructura de comandament i control incloïa el domini svs-verificationdate[.]beer i la IP 196.251.107[.]171.

Què roba AMOS

El payload és Atomic macOS Stealer, un infostealer comercial força voraç. Segons l’anàlisi, s’emporta:

  • Credencials de vuit navegadors basats en Chromium: Chrome, Edge, Brave, Opera, Arc, Vivaldi, CocCoc i Yandex.
  • Dades de navegadors derivats de Firefox: LibreWolf, SeaMonkey, Tor Browser, Waterfox i Zen Browser.
  • Moneders de criptomonedes: Exodus, Electrum, Atomic Wallet, Wasabi, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance, Dogecoin i TonKeeper.
  • Dades de Telegram Desktop i Discord.
  • Les bases de dades del Clauer (Keychain) d’Apple i les galetes de Safari.
  • Documents de l’usuari en format PDF, TXT i RTF.

Hi ha un detall especialment desagradable per a qui faci servir cripto: AMOS substitueix les instal·lacions legítimes de Ledger Live i Trezor Suite per versions manipulades, pensades per buidar els moneders hardware.

A qui afecta i què cal fer

Aquí no hi ha cap CVE ni cap vulnerabilitat concreta del sistema per pegar. L’atac no explota una errada de macOS: explota la persona que té al davant del teclat. curl, hdiutil i open són utilitats normals i necessàries; el problema és executar-les amb arguments que no entens perquè t’ho ha dit un web.

La mitigació és de sentit comú i s’aguanta sola: desconfia sempre que un lloc et demani obrir el Terminal i enganxar una ordre. Un CAPTCHA real mai no necessita això. Si no entens al 100% què fa una ordre, no l’executis. I si fas servir Ledger Live o Trezor Suite, descarrega’ls només des dels webs oficials i comprova que la instal·lació no hagi estat reemplaçada.

Si vols repassar el sistema afectat, tens la fitxa de macOS amb la seva informació de versions i suport.

Font

New macOS ClickFix attack silently mounts DMGs to push infostealer — BleepingComputer

Sistemes relacionats

macOS