I criminali informatici hanno lanciato una campagna su larga scala contro gli utenti macOS, camuffando malware da programmi popolari. Lo ha segnalato LastPass, che ha scoperto che anche il suo prodotto era stato falsificato. Il malware viene distribuito tramite falsi repository GitHub ottimizzati per i motori di ricerca, che gli consentono di apparire in cima ai risultati di ricerca di Google e Bing.
L’attacco utilizza lo schema ClickFix: alla vittima viene chiesto di inserire un comando nel terminale, presumibilmente per installare un’applicazione. In realtà, la vittima esegue una richiesta curl a un URL crittografato e scarica lo script install.sh nella directory /tmp.
Questo file installa il trojan Atomic Stealer (AMOS) sul computer. AMOS è uno strumento MaaS (Malware-as-a-Service) il cui noleggio costa 1.000 dollari al mese. La sua funzione di base è rubare dati dai dispositivi infetti, ma i suoi creatori hanno recentemente aggiunto una backdoor per un accesso furtivo e persistente al sistema.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo LastPass, i truffatori non si limitano a copiare un singolo marchio. L’elenco dei programmi contraffatti supera i 100 e include soluzioni come 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion , Gemini, Audacity, Adobe After Effects, Thunderbird e SentinelOne.
Per aggirare le restrizioni, i truffatori creano diversi account GitHub falsi e repository duplicati con un pulsante “Download”. Cliccando su questo pulsante si accede a un sito web secondario contenente le istruzioni per eseguire un comando nel terminale.
Scenari simili per macOS sono già stati documentati in precedenza. Rapporti precedenti includevano copie di Booking.com e pseudo-programmi per “risolvere problemi” nel sistema, distribuiti tramite annunci pubblicitari. La campagna attuale è significativamente più ampia: l’automazione consente la rapida riattivazione di nuove pagine dopo il blocco.
LastPass sottolinea che monitora costantemente la situazione e inoltra segnalazioni di progetti falsi all’amministrazione di GitHub, ma la minaccia rimane a causa della facilità di creazione di nuove risorse.
Gli esperti ricordano agli utenti di fidarsi solo dei siti web ufficiali degli sviluppatori. Se il produttore non offre una versione macOS di un prodotto, l'”alternativa” sarà quasi certamente dannosa.
Nei casi in cui un’app sia disponibile, è importante verificare che sia distribuita da una fonte attendibile e non da una terza parte sconosciuta.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cybercrime
Cybercrime
Vulnerabilità
Innovazione