Preventivo sconto multi-licenza
Database delle minacce Malware per Mac Malware atomico che ruba il macOS

Malware atomico che ruba il macOS

Entro Mezo nel Malware per Mac
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una nuova campagna malware che sfrutta la tattica ingannevole di ingegneria sociale nota come ClickFix per distribuire Atomic macOS Stealer (AMOS), un malware che ruba informazioni progettato per compromettere i sistemi Apple macOS.

Tattiche di typosquat: impersonare Spectrum

Gli aggressori dietro questa campagna utilizzano domini typosquat che imitano il provider di telecomunicazioni statunitense Spectrum, utilizzando siti web fraudolenti come panel-spectrum.net e spectrum-ticket.net per attirare utenti ignari. Questi domini "sosia" sono creati per apparire legittimi, aumentando la probabilità di fiducia e interazione da parte degli utenti.

Script Shell dannoso: il payload nascosto

A tutti gli utenti macOS che visitano questi siti falsificati viene presentato uno script shell dannoso. Questo script richiede alle vittime di inserire la password di sistema e procede al furto di credenziali, all'aggiramento dei controlli di sicurezza di macOS e all'installazione di una variante del malware AMOS per ulteriori sfruttamenti. I comandi nativi di macOS vengono utilizzati per massimizzare l'efficacia dello script mantenendo un basso profilo.

Tracce d’origine: commenti in codice in lingua russa

Le prove suggeriscono che dietro questa campagna potrebbero esserci criminali informatici di lingua russa. I ricercatori hanno trovato commenti in lingua russa incorporati nel codice sorgente del malware, il che indica la probabile origine geografica e linguistica degli autori della minaccia.

CAPTCHA ingannevole: l’esca di ClickFix

L'attacco inizia con un falso messaggio di verifica hCaptcha che afferma di voler verificare la sicurezza della connessione dell'utente. Dopo aver cliccato sulla casella "Sono un essere umano", gli utenti visualizzano un falso messaggio di errore: "Verifica CAPTCHA non riuscita". Viene quindi richiesto loro di procedere con una "Verifica alternativa".

Questa azione copia un comando dannoso negli appunti e visualizza istruzioni basate sul sistema operativo dell'utente. Su macOS, le vittime vengono guidate a incollare ed eseguire il comando nell'app Terminale, avviando il download di AMOS.

Esecuzione imprecisa: indizi nel codice

Nonostante l'intento pericoloso della campagna, i ricercatori hanno notato incongruenze nell'infrastruttura di attacco. Sono stati osservati errori di programmazione e di logica scadenti nelle pagine di distribuzione, come:

  • Comandi PowerShell copiati per gli utenti Linux.
  • Istruzioni specifiche per Windows mostrate sia agli utenti Windows che a quelli Mac.
  • Discordanze front-end tra il sistema operativo visualizzato e le istruzioni.
  • Questi errori indicano un'infrastruttura di attacco costruita in fretta o mal gestita.

L’ascesa di ClickFix: un vettore di minaccia in espansione

Questo sviluppo fa parte di una tendenza crescente nell'uso della tattica ClickFix in diverse campagne malware nell'ultimo anno. Gli autori delle minacce utilizzano costantemente tecniche, strumenti e procedure (TTP) simili per l'accesso iniziale, più comunemente:

  • Spear phishing
  • Download drive-by
  • Link dannosi condivisi tramite piattaforme affidabili come GitHub

Soluzioni false, danni reali: l’ingegneria sociale al suo peggio

Le vittime vengono indotte a credere di stare risolvendo un problema tecnico benigno. In realtà, eseguono comandi dannosi che installano malware. Questa forma di ingegneria sociale è altamente efficace nell'aggirare la consapevolezza dell'utente e i meccanismi di sicurezza standard.

Impatto crescente: diffusione globale e carichi utili diversificati

Le campagne ClickFix sono state rilevate in ambienti di clienti negli Stati Uniti, in Europa, in Medio Oriente e in Africa (EMEA). Questi attacchi sono sempre più diversificati e non veicolano solo stealer come AMOS, ma anche trojan e ransomware. Sebbene i payload possano variare, la metodologia di base rimane la stessa: manipolare il comportamento degli utenti per compromettere la sicurezza.

Conclusione: Vigilanza richiesta

Questa campagna sottolinea l'importanza di una vigilanza costante, della formazione degli utenti e di solidi controlli di sicurezza. Con l'evoluzione di tattiche di ingegneria sociale come ClickFix, organizzazioni e individui devono rimanere informati e preparati a riconoscere e bloccare queste minacce ingannevoli.

Tendenza

I più visti

Caricamento in corso...