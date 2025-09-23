Da alcuni giorni è in corso una campagna malware che sfrutta la popolarità di LastPass. I cybercriminali pubblicizzano una versione fasulla del password manager per ingannare gli utenti Mac e convincerli ad eseguire una serie di comandi (attacco ClickFix). Lo scopo finale è installare il famigerato malware AMOS (Atomic Stealer).

Trucchi SEO per distribuire il malware

I cybercriminali hanno creato diversi repository in GitHub utilizzando più account per evitare di essere scoperti. Questa soluzione ha permesso anche di “manipolare” i motori di ricerca. Attraverso tecniche SEO sono riusciti ad incrementare la visibilità, quindi le relative pagine su GitHub vengono mostrate all’inizio dei risultati di ricerca su Google e Bing.

Nelle suddette pagine, che sembrano essere gestite da LastPass, viene descritto il password manager con l’elenco delle principali funzionalità. È presente anche il pulsante “Install LastPass on MacBook“. Se l’ignara vittima clicca sul pulsante viene automaticamente portata su un sito esterno.

Nella nuova pagina ci sono le istruzioni da seguire per copiare un comando nel terminale di macOS che servirebbe per installare la versione Mac del password manager. Molti utenti non comprendono il significato del comando, come avviene spesso in caso di un attacco ClickFix.

Quando eseguito, il comando effettua una richiesta curl ad un URL codificato con base64, da cui viene scaricato uno script che a sua volta installa Atomic Stealer sul Mac. L’infostealer, offerto in abbonamento a 1.000 dollari/mese, può rubare numerosi dati sensibili, tra cui password e cookie dai browser. All’inizio di luglio è stato aggiornato per includere anche una backdoor.

Gli utenti non devono mai eseguire i comandi mostrati sui siti web. LastPass e altri software devono essere sempre scaricati dalla fonte ufficiale.