Si estende il progetto ClearFake e ora prende di mira anche gli utenti Apple. I Mac infettati da malware stanno diventando una notizia alquanto insolita, visto che il sistema OS è rinomato per essere particolarmente difficile da insidiare per i cybercriminali. Ma cosa si rischia e quali sono precisamente le dinamiche che hanno portato a questa vulnerabilità? Scopriamolo insieme.

Aggiornamenti browser falsi

A luglio è partita la campagna ClearFake, rivolta agli utenti Android al fine di infettare i device con la scusa di dover aggiornare il browser di Google Chrome.

Ora però la campagna si è e stesa anche ad Apple e spuntano i primi Mac infetti. Lo scopo di questo attacco è infatti quello di recapitare alle vittime il malware Atomic Stealer, il quale è in grado di rubare i dati presenti all’interno del sistema, una volta che esso è stato compromesso. Ma come funziona l’attacco? In sostanza, questo ClearFake utilizza le tecniche di JavaScript Injection, mostrando sulle pagine web pop up ingannevoli che invitano l’utente a scaricare un aggiornamento per ottenere un miglior funzionamento del proprio browser. Com’è facile prevedere, questo upgrade invece in realtà scarica un malware al povero malcapitato.

Insomma, se fino a qualche settimana fa la minaccia era circoscritta agli utenti di Windows, ora invece si è estesa anche a quelli di Apple. E come se non bastasse, nel mese di ottobre gli esperti di cybersecurity di Guardia Labs hanno inoltre scoperto che la campagna ClearFake si è estesa sfruttando la blockchain di Binance, occultando script maligni all’interno di Smart Contract della Binance Smart Chain capaci di diffondere infostealer come RedLine, Lumma e Amadey. Per quanto riguarda il modus operandi degli attacchi, secondo gli esperti la campagna cerca di indurre l’utente a scaricare un aggiornamento del browser Safari contenuto in un file DMG. Naturalmente, il file in questione è un malware.

Mac infettati da malware

Come detto, il malware in questione è Atomic Stealer, il quale è capace di fare non pochi danni al nostro device. Questo malware infatti riesce a sottrarre molte informazioni una volta che il sistema è stato compromesso e reso vulnerabile. Ecco nel dettagli quali sono i dati che Atomi riesce a rubare dal dispositivo attaccato:

  • cookie di sessione,
  • credenziali salvate
  • numeri di carte di credito dai principali browser web,
  • file e documenti salvati in locale,
  • wallet di criptovalute.

Tra gli obiettivi più ambiti da Atomic però c’è quello di compromettere il portachiavi di macOS, il quale contiene non solo le informazioni crittografate come le password del Wi Fi, ma anche i dati di accesso degli account associati ai vari servizi web dell’utente. In sostanza, se il malware riesce a violare questo portachiavi, allora ha accesso a tutta la vita digitale dell’utente e potenzialmente ogni suo account è in pericolo. Le capacità di occultamento di questo malware gli consento di aggirare la metà degli antivirus attualmente presenti sul mercato. Insomma, scaricare questo falso upgrade potrebbe essere una delle cose più pericolose da fare nella vita. I browser oggi hanno dei meccanismi interni automatici che ci avvisano in caso di aggiornamento, quindi mai effettuarli per un improvviso pop up che si è aperto mentre stavamo visitando una pagina online.

I punti chiave…

  • nell’era dell’intelligenza artificiale, continuano a imperversare virus e malware;
  • stavolta anche Apple viene colpita, si tratta di un falso aggiornamento del browser Chrome;
  • il malware attacca il sistema e ruba tutti i dati presenti in esso.