Nel mondo macOS è emersa una nuova campagna malware, che non si basa su exploit sofisticati, ma sul caro vecchio social engineering. È alimentata dal malware MacSync, distribuito utilizzando il modello “malware-as-a-service“, un servizio economico per i criminali informatici, che prende di mira anche gli aggressori meno esperti ma molto attivi.
MacSync si maschera da programma di installazione per l’archiviazione cloud e viene distribuito tramite siti web che sembrano quasi indistinguibili dai portali di download legittimi.
In un caso documentato dagli specialisti di CloudSEK, l’utente è stato prima reindirizzato da una pagina che simulava un modulo di accesso all’account Microsoft e poi al sito web “ufficiale” dell’app macOS.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Lì non venivano offerti file sospetti. Al visitatore è stato invece mostrato un messaggio di errore e gli è stato consigliato un “metodo di installazione avanzato” tramite Terminale. Ciò che seguì seguì il classico schema di ClickFix. L’utente veniva letteralmente indotto a copiare e incollare una singola riga di comando, presumibilmente necessaria per completare l’installazione o risolvere un problema.
Il comando sembrava innocuo, ma in realtà scaricava ed eseguiva uno script dannoso remoto. Poiché l’azione era volontaria, macOS non rilevò nulla di sospetto: Gatekeeper, la verifica delle firme e altre protezioni semplicemente fallirono.
Una volta installato, riportano i ricercatori, MacSync impiega molto tempo a rivelarsi. Il malware opera in modo silenzioso, basandosi sulla persistenza a lungo termine nel sistema. Una delle sue funzioni principali è quella di sostituire le popolari applicazioni Electron con i wallet hardware per criptovalute, tra cui Ledger Live e Trezor Suite.
Le versioni modificate sembrano legittime, ma al momento opportuno iniziano a mostrare all’utente schermate di “servizio”, segnalando errori e chiedendogli di ripristinare il proprio account. Questo scenario può verificarsi anche diverse settimane dopo l’infezione.
All’utente viene chiesto di inserire un PIN e una seed phrase, presumibilmente per risolvere il problema; a quel punto, gli aggressori ottengono il controllo completo delle sue criptovalute. In sostanza, l’app affidabile viene trasformata in un sofisticato strumento di phishing.
Nonostante il suo status di “soluzione MaaS economica”, le potenzialità di MacSync appaiono piuttosto gravi. Il malware può raccogliere dati del browser, informazioni sui portafogli crittografici, contenuti del portachiavi e file.
Questo lo rende pericoloso non solo per gli utenti privati, ma anche per i dispositivi aziendali, dove macOS è sempre più utilizzato come piattaforma di lavoro.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Cybercrime
Vulnerabilità
Cyber Italia