Furto di criptovalute con deepfake AI e malware macOS
Topic
Approfondimenti
Trending
tutti

Furto di criptovalute con deepfake AI e malware macOS

Un gruppo di cybercriminali nordcoreani ha usato deepfake video e la tecnica ClickFix per distribuire sette malware per macOS e rubare criptovalute.
Furto di criptovalute con deepfake AI e malware macOS
Sicurezza
Un gruppo di cybercriminali nordcoreani ha usato deepfake video e la tecnica ClickFix per distribuire sette malware per macOS e rubare criptovalute.
Google AI Studio

I ricercatori di Mandiant (sussidiaria di Google) hanno scoperto numerosi attacchi informatici effettuati da cybercriminali nordcoreani (gruppo UNC1069) contro aziende fintech. Lo scopo è rubare criptovalute, utilizzando deepfake video e la nota tecnica ClickFix. In quasi tutti i casi viene installato un malware per macOS.

Descrizione delle campagne malware

Le vittime vengono contattate tramite l’account Telegram compromesso di un dirigente di una fintech. I cybercriminali inviano quindi un link Calendly che punta ad un falso meeting Zoom. Durante la chiamata viene mostrato il deepfake video del CEO di un’altra fintech. Ad un certo punto viene simulato un problema audio. Per risolverlo è necessario eseguire alcuni comandi pubblicati su una pagina web. Questa è la nota tecnica ClickFix.

Ci sono comandi per Windows e macOS. Gli esperti di Mandiant hanno descritto la catena di infezione per il sistema operativo di Apple. Il comando scarica ed esegue un AppleScript che a sua volta scarica il primo malware, ovvero WAVESHAPER. È una backdoor che raccoglie e invia al server remoto diverse informazioni sul Mac.

La backdoor scarica quindi HYPERCALL, un downloader che scarica altre due backdoor (HIDDENCALL e SILENCELIFT) e un altro downloader (SUGARLOADER). La prima backdoor permette di accedere alla tastiera e supporta l’esecuzione di comandi remoti, mentre la seconda può interrompere le comunicazioni di Telegram.

Gli ultimi due malware, scaricati rispettivamente da HIDDENCALL e SUGARLOADER, sono DEEPBREATH e CHROMEPUSH. DEEPBREATH è un data miner che può aggirare la protezione TCC (Transparency, Consent, and Control) di macOS. Accede anche al file system e ruba numerosi dati (credenziali keychain, cookie e password dai browser, dati da Telegram e Apple Notes).

CHROMEPUSH è un altro data miner che viene mascherato come estensione Google Docs Offline per Chrome. Può rubare credenziali e cookie, registrare i tasti premuti e catturare screenshot. Attualmente solo due (SUGARLOADER e WAVESHAPER) dei sette malware vengono rilevati dai principali antivirus, secondo VirusTotal.

Fonte: Bleeping Computer

Pubblicato il 14 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi

VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi
Disney: pagamento milionario per violazione della privacy

Disney: pagamento milionario per violazione della privacy
Furto di password con false estensioni AI per Chrome

Furto di password con false estensioni AI per Chrome
Attenzione all'add-in per Outlook: ruba l'account

Attenzione all'add-in per Outlook: ruba l'account
VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi

VPN illimitata, 5 motivi per cui questa è la scelta migliore di oggi
Disney: pagamento milionario per violazione della privacy

Disney: pagamento milionario per violazione della privacy
Furto di password con false estensioni AI per Chrome

Furto di password con false estensioni AI per Chrome
Attenzione all'add-in per Outlook: ruba l'account

Attenzione all'add-in per Outlook: ruba l'account
Luca Colantuoni
Pubblicato il
14 feb 2026
Link copiato negli appunti