Sebbene ci siano effettivamente meno malware per macOS rispetto a quelli per Windows, le minacce cyber per Mac sono molto più comuni di quanto i possessori dei PC Apple vorrebbero pensare. Lo dimostra anche un recente approfondimento di Kaspersky, che analizza le principali minacce odierne per gli utenti macOS esaminando tre studi recenti su diverse famiglie di malware che sono stati pubblicati nelle ultime settimane.

BlueNoroff attacca gli utenti macOS e ruba le criptovalute

Alla fine di ottobre 2023, i ricercatori di Kaspersky hanno scoperto un nuovo Trojan macOS che si ritiene sia associato a BlueNoroff, “l’ala commerciale” del gruppo APT Lazarus che lavora per la Corea del Nord. Questo sottogruppo è specializzato in attacchi finanziari e si concentra in particolare su attacchi al sistema SWIFT (inclusa la famigerata rapina alla Banca centrale del Bangladesh) e sul furto di criptovalute da organizzazioni e individui.

Il downloader di Trojan per macOS che è stato scoperto viene distribuito all’interno di archivi dannosi. È camuffato da documento PDF intitolato “Crypto-assets and their risks for financial stability”, con un’icona che imita un’anteprima di questo documento.

1a292f98-be38-4fe1-b9a5-e361c5e376e8

Quando l’utente fa clic sul Trojan (mascherato da file PDF), viene eseguito uno script che scarica effettivamente il documento PDF corrispondente da Internet e lo apre. Ma, naturalmente, non è tutto quello che accade. Il compito principale del Trojan è quello di scaricare un altro virus che raccoglie informazioni sul sistema infetto, le invia al server di comando e controllo (C2), quindi attende un comando per eseguire una di due possibili azioni: eliminazione automatica o salvataggio in un file ed esecuzione del codice dannoso inviato in risposta dal server.

Trojan proxy nel software piratato per macOS

Alla fine di novembre 2023, i ricercatori di Kaspersky hanno scoperto un’altra istanza di malware che minaccia gli utenti Mac: un Trojan proxy, distribuito insieme a software piratato per macOS. In particolare, questo Trojan è stato aggiunto ai file PKG di programmi di editing video, strumenti di recupero dati, utilità di rete, convertitori di file e diversi altri software violati. L’elenco completo dei programmi di installazione infetti scoperti dai nostri esperti è disponibile alla fine del rapporto pubblicato su Securelist.

Come accennato in precedenza, questo malware appartiene alla categoria dei Trojan proxy, ovvero un malware che imposta un server proxy nel computer infetto, creando essenzialmente un host per reindirizzare il traffico Internet. Successivamente, i cybercriminali possono utilizzare tali dispositivi infetti per creare una rete a pagamento di server proxy, guadagnando dalle persone interessate a tali servizi. In alternativa, i proprietari del Trojan potrebbero utilizzare direttamente i computer infetti per svolgere attività criminali a nome della vittima, che si tratti di attaccare siti Web, aziende o altri utenti o di acquistare armi, sostanze stupefacenti o altre merci illegali.

Stealer Atomic in falsi aggiornamenti del browser Safari

Sempre a novembre 2023 è stata scoperta una nuova campagna dannosa per diffondere un altro Trojan per macOS noto come Atomic (scoperto e descritto per la prima volta a marzo 2023) e appartenente alla categoria degli stealer. Questo tipo di malware cerca, estrae e invia ai suoi creatori informazioni di ogni tipo trovate nel computer della vittima, in particolare i dati salvati nei browser. Gli account di accesso e le password, i dettagli delle carte bancarie, le chiavi dei wallet di criptovalute e analoghe informazioni sensibili sono di particolare valore per gli stealer.

La novità è che ora gli autori degli attacchi hanno iniziato a utilizzare falsi aggiornamenti per i browser Safari e Chrome per diffondere il Trojan Atomic. Questi aggiornamenti vengono scaricati da pagine dannose che imitano in modo molto convincente i siti Web originali di Apple e Google.

atomic_stealer_21

Una volta in esecuzione su un sistema, il Trojan Atomic tenta di rubare le seguenti informazioni dal computer della vittima:

  • Cookie
  • Account di accesso, password e dettagli delle carte bancarie memorizzati nel browser
  • Password dal sistema di archiviazione delle password macOS (Portachiavi)
  • File archiviati sul disco rigido
  • Dati memorizzati da oltre 50 popolari estensioni per le criptovalute
  • Vulnerabilità zero-day in macOS

Di recente sono state scoperte anche due vulnerabilità zero-day nel browser Safari e, secondo l’annuncio di Apple, i cybercriminali le stavano già sfruttando quando sono state identificate. Attirando semplicemente la vittima su una pagina Web dannosa, gli autori degli attacchi possono infettare il dispositivo senza ulteriori azioni da parte dell’utente, ottenendo così il controllo del dispositivo e la capacità di rubare i dati. Queste vulnerabilità sono rilevanti per tutti i dispositivi che utilizzano il browser Safari e rappresentano una minaccia sia per gli utenti iOS/iPadOS che per i proprietari di Mac.

Si tratta di uno scenario comune: poiché i sistemi operativi Apple condividono molti componenti, le vulnerabilità spesso si applicano non solo a uno dei sistemi operativi dell’azienda, ma a tutti. Si tratta quindi di un caso in cui i Mac sono stati traditi dalla popolarità dell’iPhone: gli utenti iOS sono gli obiettivi primari, ma queste vulnerabilità possono essere utilizzate altrettanto facilmente per attaccare macOS.

Nel 2023 sono state scoperte in totale le seguenti 19 vulnerabilità zero-day nei sistemi operativi Apple. Tra queste, 17 hanno interessato gli utenti macOS, tra cui più di una decina con stato ad alto rischio e una classificata come critica.

24dc8177-a1a1-486e-80df-40a67ce184f4