Un malware che ruba le password e i dati personali degli utenti Mac sta usando una nuova tecnica per infettare i computer: si spaccia per un aggiornamento del browser. Il malware, chiamato Atomic Stealer o AMOS, è stato scoperto dai ricercatori di sicurezza ad aprile del 2023, ma da allora ha cambiato il suo modo di operare. I malintenzionati che usano AMOS lo diffondono attraverso vari metodi, tra cui il software craccato.
AMOS arriva agli utenti tramite una campagna di annunci malevoli che si chiama Clearfake, individuata dal ricercatore di sicurezza Randy McEoin ad agosto 2023. Il 17 novembre, il ricercatore di sicurezza Ankit Anubhav ha rivelato che la campagna Clearfake stava mirando agli utenti Mac.
Come gli hacker usano gli annunci di Google per infettare i Mac
Un articolo di Malwarebytes spiega come Atomic Stealer inganna gli utenti. Gli hacker comprano spazi pubblicitari legittimi su Google e altri servizi e li usano per mostrare annunci malevoli. Compromettono i server dei siti web infetti, che usano poi come mezzo per distribuire il malware.
Quando un utente cerca un’applicazione che vuole scaricare, può imbattersi nell’annuncio malevolo e cliccarci sopra. Questo fa partire il download del file (un file DMG) che contiene il malware. L’utente ignaro potrebbe eseguire il file per aggiornare il suo browser. Ma a questo punto il malware entra in azione: esegue alcuni comandi dopo aver richiesto la password amministrativa. Se l’utente inserisce la password, AMOS ruba i dati e i file di iCloud e li manda a un server remoto. Questo tipo di attacco si chiama malvertising, ed è molto usato per truffare gli utenti di Windows.
La campagna Clearfake è astuta: riconosce il browser dell’utente (user agent) e propone un aggiornamento specifico. Così gli utenti di Chrome vedranno un falso aggiornamento che sembra una richiesta di aggiornamento da parte di Chrome. Lo stesso copione si ripete anche con Safari, sebbene le icone di Safari e iCloud siano obsolete, particolare che è abbastanza facile da notare se si conoscono quelle moderne.
Secondo Malwarebytes, AMOS potrebbe essere il primo caso di attacco socialmente ingegnerizzato, simile a quelli che colpiscono Windows, che prende di mira macOS. Questo significa che gli utenti Mac sono diventati un bersaglio appetibile per gli hacker, che vogliono approfittare della loro popolarità. In questo modo possono rubare le credenziali degli utenti per fare phishing o per sferrare altri attacchi.
Come difendersi da Atomic Stealer
Per evitare di cadere nella trappola di Atomic Stealer, bisogna prestare molta attenzione a dove si scaricano i file. Bisogna evitare i siti poco affidabili e non scaricare software pirata. Se si vuole aggiornare le proprie applicazioni, bisogna andare sul sito ufficiale per ottenere l’ultimo aggiornamento. Oppure, si può aggiornare il proprio browser direttamente dal suo menu.
Apple Safari fa eccezione, perché gli aggiornamenti vengono forniti tramite un aggiornamento macOS dalle Impostazioni di sistema (Preferenze di sistema). E come sempre, si consiglia di usare un blocco degli annunci come uBlock Origin per Firefox/Chrome o AdGuard per proteggere il proprio computer da annunci e malware.
Se si sospetta di avere un malware sul proprio computer, si può scaricare la versione gratuita di Malwarebytes per fare una scansione e rimuovere il malware. Si ricordi che la maggior parte delle app non chiede la password di amministrazione per essere aggiornata. Se si vede una richiesta di questo tipo, è bene prestare attenzione e verificare la fonte.