Infostealer Python per macOS
Gli esperti di sicurezza informatica lanciano l'allarme per la rapida espansione degli attacchi mirati al furto di informazioni, che vanno oltre Microsoft Windows e si estendono anche agli ecosistemi Apple macOS. Gli autori delle minacce si affidano sempre più a linguaggi multipiattaforma come Python e sfruttano in modo improprio servizi affidabili e piattaforme pubblicitarie per distribuire malware su larga scala, ampliando significativamente la superficie di attacco.
Sommario
L’ingegneria sociale alimenta le campagne di infostealer su macOS
Dalla fine del 2025, diverse campagne hanno preso di mira gli utenti macOS attraverso tecniche di ingegneria sociale, in particolare ClickFix. Queste operazioni distribuiscono programmi di installazione di immagini disco (DMG) dannosi che sfruttano le note famiglie di infostealer macOS, tra cui Atomic macOS Stealer (AMOS), MacSync e DigitStealer. La distribuzione spesso si basa sulla convinzione degli utenti di avviare manualmente il processo di infezione.
Abuso nativo di macOS e furto furtivo di dati
Una volta eseguite, queste minacce si basano spesso su tecniche fileless, utility native di macOS e automazione AppleScript per eludere il rilevamento e semplificare la raccolta dei dati. Le informazioni rubate includono comunemente credenziali e dati di sessione memorizzati nel browser, voci sensibili del portachiavi iCloud e segreti relativi agli sviluppatori che possono consentire ulteriori compromissioni.
Malvertising come vettore di accesso iniziale
Molte di queste catene di attacco iniziano con annunci pubblicitari dannosi, spesso distribuiti tramite Google Ads. Gli utenti alla ricerca di software legittimi, come utility DynamicLake o strumenti di intelligenza artificiale, vengono reindirizzati a siti web contraffatti. Questi siti utilizzano esche ClickFix che istruiscono le vittime a seguire comandi di copia-incolla o prompt di installazione, con conseguente distribuzione di malware autoinflitto.
I ladri di Python consentono un rapido adattamento
Gli infostealer basati su Python sono particolarmente interessanti per gli aggressori grazie alla loro flessibilità e facilità di riutilizzo su diversi sistemi operativi. Queste minacce vengono comunemente diffuse tramite e-mail di phishing e sono progettate per rubare un'ampia gamma di risorse sensibili, tra cui:
Credenziali di accesso, cookie di sessione, token di autenticazione, dettagli della carta di credito e dati del portafoglio di criptovaluta
PXA Stealer e abuso delle app di messaggistica
Un esempio degno di nota è PXA Stealer, attribuito ad autori di minacce di lingua vietnamita. Le campagne documentate di ottobre e dicembre 2025 si basavano su e-mail di phishing per l'accesso iniziale e sfruttavano chiavi di registro Run o attività pianificate per mantenere la persistenza. Telegram è stato utilizzato per comunicazioni di comando e controllo e per l'esfiltrazione di dati. Separatamente, gli autori delle minacce hanno anche sfruttato piattaforme di messaggistica popolari come WhatsApp per distribuire malware come Eternidade Stealer, che prendeva di mira conti finanziari e di criptovalute, una campagna resa pubblica nel novembre 2025.
Avvelenamento SEO e software falsi su Windows
L'attività degli infostealer non si limita a macOS. Campagne parallele hanno utilizzato falsi editor PDF, come Crystal PDF, promossi tramite malvertising e attacchi di ottimizzazione dei motori di ricerca. Questi attacchi incentrati su Windows utilizzano programmi di furto di credenziali in grado di estrarre silenziosamente cookie, informazioni di sessione e credenziali memorizzate nella cache da Mozilla Firefox e Google Chrome.
Misure difensive contro le operazioni di Infostealer
Per ridurre l'esposizione alle minacce degli infostealer, si incoraggiano le organizzazioni a implementare difese a più livelli e iniziative di sensibilizzazione degli utenti, tra cui:
- Formazione degli utenti per riconoscere le catene di reindirizzamento malvertising, gli installatori fraudolenti e i prompt in stile ClickFix
- Monitoraggio di attività insolite del Terminale, accessi non autorizzati al Portachiavi iCloud e richieste POST in uscita sospette verso domini appena registrati o anomali
Impatto aziendale della compromissione di Infostealer
Le infezioni da infostealer possono avere conseguenze di vasta portata. Credenziali e dati di sessione rubati possono consentire violazioni dei dati, accessi non autorizzati ai sistemi interni, compromissione della posta elettronica aziendale, intrusioni nella supply chain e attacchi successivi come l'implementazione di ransomware. Il rilevamento proattivo e la formazione rimangono fondamentali per limitare questi rischi.
