ClickFix, nuova variante di Atomic Stealer: falsi avvisi in Safari aggirano le protezioni di macOS 26.4

Jamf Threat Labs hanno individuato una nuova minaccia informatica, denominata ClickFix, che prende di mira gli utenti Mac.

La campagna si basa su una variante evoluta di Atomic Stealer, un malware già noto, aggiornata per eludere i meccanismi di protezione introdotti con macOS Tahoe 26.4.

Secondo gli esperti, l’infezione inizia tramite pagine web contraffatte che riproducono avvisi di sistema sull’esaurimento dello spazio di archiviazione.

L’interfaccia accompagna l’utente in una procedura apparentemente legittima che culmina con la richiesta di premere un pulsante di esecuzione.

A questo punto Safari domanda il permesso di aprire lo Script Editor di macOS, applicazione preinstallata su tutti i computer Apple e usata come ambiente di sviluppo.

Una volta concessa l’autorizzazione, la minaccia avvia un programma che si spaccia per strumento di manutenzione dello spazio, ma che in realtà scarica ed esegue codice malevolo direttamente nella memoria del sistema.

“Quando una porta si chiude, gli aggressori ne trovano un’altra”, scrivono sul blog i ricercatori dei Jamf Threat Labs.

“Richiedendo attivamente operazioni da parte dell’utente, la buona riuscita dell’attacco può essere limitata”, aggiungono.

Nelle ultime ore Apple ha rilasciato l’aggiornamento a macOS 26.4.1.