MacSync: il malware per macOS che ti svuota il wallet… dopo settimane

Nel mondo macOS è emersa una nuova campagna malware, che non si basa su exploit sofisticati, ma sul caro vecchio social engineering. È alimentata dal malware MacSync, distribuito utilizzando il modello “malware-as-a-service“, un servizio economico per i criminali informatici, che prende di mira anche gli aggressori meno esperti ma molto attivi.

MacSync si maschera da programma di installazione per l’archiviazione cloud e viene distribuito tramite siti web che sembrano quasi indistinguibili dai portali di download legittimi.

In un caso documentato dagli specialisti di CloudSEK, l’utente è stato prima reindirizzato da una pagina che simulava un modulo di accesso all’account Microsoft e poi al sito web “ufficiale” dell’app macOS.

Lì non venivano offerti file sospetti. Al visitatore è stato invece mostrato un messaggio di errore e gli è stato consigliato un “metodo di installazione avanzato” tramite Terminale. Ciò che seguì seguì il classico schema di ClickFix. L’utente veniva letteralmente indotto a copiare e incollare una singola riga di comando, presumibilmente necessaria per completare l’installazione o risolvere un problema.

Il comando sembrava innocuo, ma in realtà scaricava ed eseguiva uno script dannoso remoto. Poiché l’azione era volontaria, macOS non rilevò nulla di sospetto: Gatekeeper, la verifica delle firme e altre protezioni semplicemente fallirono.

Una volta installato, riportano i ricercatori, MacSync impiega molto tempo a rivelarsi. Il malware opera in modo silenzioso, basandosi sulla persistenza a lungo termine nel sistema. Una delle sue funzioni principali è quella di sostituire le popolari applicazioni Electron con i wallet hardware per criptovalute, tra cui Ledger Live e Trezor Suite.

Le versioni modificate sembrano legittime, ma al momento opportuno iniziano a mostrare all’utente schermate di “servizio”, segnalando errori e chiedendogli di ripristinare il proprio account. Questo scenario può verificarsi anche diverse settimane dopo l’infezione.

All’utente viene chiesto di inserire un PIN e una seed phrase, presumibilmente per risolvere il problema; a quel punto, gli aggressori ottengono il controllo completo delle sue criptovalute. In sostanza, l’app affidabile viene trasformata in un sofisticato strumento di phishing.

Nonostante il suo status di “soluzione MaaS economica”, le potenzialità di MacSync appaiono piuttosto gravi. Il malware può raccogliere dati del browser, informazioni sui portafogli crittografici, contenuti del portachiavi e file.

Questo lo rende pericoloso non solo per gli utenti privati, ma anche per i dispositivi aziendali, dove macOS è sempre più utilizzato come piattaforma di lavoro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione