Alcuni malintenzionati hanno pubblicizzato su Telegram un nuovo malware per furto di informazioni per il sistema operativo Apple macOS chiamato Atomic macOS Stealer (o AMOS) per 1.000 dollari al mese, unendosi a MacStealer.
Atomic macOS Stealer, cosa sappiamo
“Il furto di informazioni di Atomic macOS Stealer può rubare vari tipi di informazioni dalla macchina della vittima, inclusi i password Keychain, le informazioni complete del sistema, i file dalla scrivania e dalla cartella documenti e persino la password macOS“, hanno detto i ricercatori di Cyble in un rapporto tecnico.
Tra le altre caratteristiche ci sono la sua capacità di estrarre dati dai browser web e dagli wallet di criptovalute come Atomic, Binance, Coinomi, Electrum e Exodus. I malintenzionati che acquistano il furto di informazioni dai loro sviluppatori ricevono anche un pannello web pronto all’uso per gestire le vittime.
Il malware assume la forma di un file immagine disco non firmato (Setup.dmg) che, quando eseguito, spinge la vittima a inserire la sua password di sistema su una falsa richiesta per elevare i privilegi e portare avanti le sue attività maliziose, una tecnica anche adottata da MacStealer.
Il vettore di infezione iniziale usato per distribuire il malware non è al momento chiaro, anche se è probabile che gli utenti vengano ingannati in un qualche modo (email fasulle ma che sembrano credibili, siti che sembrano affidabili, etc.) per scaricarlo ed eseguirlo sotto la falsa identità di un software legittimo.
L’elemento che ruba le informazioni da wallet di criptovalute (e non solo) Atomic, inviato a VirusTotal il 24 aprile 2023, porta anche il nome “Notion-7.0.6.dmg”, suggerendo che stia venendo propagato come la popolare app di prendere appunti. Altri campioni scoperti dal MalwareHunterTeam sono stati distribuiti come “Photoshop CC 2023.dmg” e “Tor Browser.dmg“.
“I malware come Atomic macOS Stealer potrebbero essere installati sfruttando le vulnerabilità o l’hosting su siti di phishing“, ha reso noto Cyble.
Atomic procede poi a raccogliere i metadati di sistema, i file, l’iCloud Keychain, nonché le informazioni memorizzate nei browser web (ad esempio, password, autofill, cookie, dati della carta di credito) e le estensioni del portafoglio criptato, il tutto compresso in un archivio ZIP e inviato a un server remoto; il file ZIP delle informazioni compilato viene pertanto inviato a canali Telegram preconfigurati.
Come difendersi da malwar come Atomic macOS Stealer e o comunque minacce di questo tipo?
Questa vicenda non è che un altro segnale che macOS sta diventando sempre più un obiettivo redditizio oltre ai gruppi di hacking di vari paesi del mondo per distribuire malware furto di informazioni, rendendo imperativo che gli utenti scarichino e installino software solo da fonti affidabili, attivino l’autenticazione a due fattori, esaminino le autorizzazioni delle app e evitino di aprire collegamenti sospetti ricevuti tramite e-mail o messaggi SMS.
Da ricordare che programmi come Malwarebytes sono disponibili anche per macOS.
Quando cade un mito, in questo caso il Mac “impenetrabile”
Negli anni molti utenti hanno proposto il Mac come alternativa a Windows perché “più sicuro”, eppure come nel caso di sistemi operativi su Kernel Linux gli attacchi sono sempre più frequenti.
È molto curioso notare che alcuni non fidandosi di Windows, “intasino” il loro computer con antivirus, programmi di dubbia fattura che promettono aumenti di prestazioni ed altre schifezze; purtroppo queste stesse persone quando passano a macOS, convinte di essere al sicuro “eh, tanto ho il mac”, per poi comunque scaricare accidentalmente minacce come queste.
Ricorda che il sistema operativo può essere più o meno sicuro, ma il primo antivirus sei tu.
