C’è in circolazione un nuovo tipo di malware per macOS che si camuffa da file crack di CleanMyMac o Photoshop al fine di rubare dati dai browser e dai portafogli di crypto. A riferirlo è stata la squadra di Moonlock Lab di MacPaw, informando che nella maggior parte dei casi il malware si presta in veste di app legittima.
macOS: nuova variante di Atomic Stealer
Una volta installato, il malware può utilizzare AppleScript per indurre gli utenti a rivelare le proprie password, rubare cookie da browser come Chrome e Safari e autoeliminarsi se rileva che è in esecuzione su una macchina virtuale.
Lo script inizia ottenendo il nome utente corrente dal sistema insieme ad altri percorsi di sistema essenziali per un uso successivo. Quindi, crea una cartella temporanea per archiviare i dati rubati prima di inviarli.
Lo script è altresì in grado di rubare file del portafoglio, dando potenzialmente all’aggressore l’accesso alle risorse crittografiche della vittima. I portafogli a rischio includono Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance e TonKeeper.
Lo script copia il file “login.keychain-db”, che contiene i dati del portachiavi macOS come password e credenziali sensibili. Prende anche i dati da Note di Apple copiando “NoteStore.sqlite” e i file correlati.
Da tenere presente che il malware è in realtà una variante di Atomic Stealer, identificato inizialmente nel 2023 ed evolutosi al punto tale da diventare particolarmente difficile da rilevare.
Considerando la situazione, gli utenti Mac devono adottare alcune misure preventive per rimanere al sicuro: scaricare sempre i software dal sito Web ufficiale o dal Mac App Store, controllare l’URL per scovare la presenza di indizi riconducibili a minacce informatiche, evitare di cliccare su link sospetti e aggiornare su base regolare macOS e tutte le applicazioni installate. Inoltre, Gatekeeper, una funzionalità integrata di macOS, garantisce che possano essere installate solo app firmate e attendibili.