Malware Atomic macOS Stealer: di cosa tratta questa campagna?
Table of Contents
Una minaccia in evoluzione sotto una veste familiare
Un'altra minaccia alla sicurezza informatica sta prendendo piede nel mondo macOS. Atomic macOS Stealer (comunemente abbreviato in AMOS) è stato individuato in una nuova campagna malware che prende di mira gli utenti Apple attraverso un'ingegnosa ingegneria sociale. Anziché ricorrere alla forza bruta o a exploit sofisticati, gli aggressori di AMOS si affidano alla manipolazione del comportamento degli utenti, in particolare sfruttando la fiducia nelle esperienze online quotidiane.
Questa campagna utilizza un metodo ingannevole noto come " ClickFix ", una tattica che presenta quella che sembra una verifica CAPTCHA di routine su un sito web. Gli utenti che aderiscono alla tattica avviano inconsapevolmente una sequenza dannosa che termina con l'installazione del malware AMOS sul loro dispositivo.
I meccanismi dietro il malware
Al centro di questo schema c'è una falsa pagina CAPTCHA che impersona piattaforme web affidabili. Nel caso di questa particolare campagna, gli aggressori hanno imitato il marchio del fornitore di telecomunicazioni statunitense Spectrum. Agli utenti che visitavano i siti fraudolenti (come panel-spectrum.net o spectrum-ticket.net ) veniva richiesto di verificare la propria identità tramite quello che sembrava un classico controllo CAPTCHA.
Quando il CAPTCHA fallisce – intenzionalmente – un prompt suggerisce un metodo di "Verifica Alternativa". È in questo passaggio che risiede il vero pericolo. Agli utenti Mac vengono mostrate le istruzioni per copiare ed eseguire un comando da terminale, che sembra innocuo ma avvia uno script shell che richiede la password di sistema e poi scarica il malware AMOS.
Cosa fa AMOS una volta installato
Una volta distribuito, il malware Atomic macOS Stealer inizia a raccogliere informazioni sensibili dell'utente. Utilizza comandi integrati in macOS per estrarre credenziali, accedere alle password memorizzate e potenzialmente aggirare alcuni meccanismi di sicurezza integrati. Lo script non è solo invasivo, ma anche ingannevolmente semplice, il che dimostra quanto possa essere efficace un codice minimale nelle mani di un aggressore esperto.
I ricercatori hanno notato che questo malware include commenti scritti in russo, suggerendo il coinvolgimento di criminali informatici russofoni. Questa origine internazionale è in linea con le tendenze più ampie della criminalità informatica, in cui gli attori transfrontalieri prendono di mira piattaforme ampiamente utilizzate e con un elevato livello di fiducia da parte degli utenti.
Progettazione scadente, rischio elevato
È interessante notare che l'infrastruttura a supporto di questa campagna è tutt'altro che impeccabile. Gli analisti hanno evidenziato numerose incongruenze nella logica e nella presentazione delle pagine di distribuzione del malware. Ad esempio, istruzioni non corrispondenti su tutte le piattaforme – come quelle che indicano agli utenti Linux di eseguire comandi PowerShell destinati a Windows – e istruzioni vaghe o contrastanti mostrate sia agli utenti Mac che a quelli Windows.
Questi difetti suggeriscono un'installazione affrettata, ma non diminuiscono il potenziale danno. Anche un'operazione maldestra può causare danni significativi se convince gli utenti ad abbassare la guardia.
ClickFix: una tattica di distribuzione in crescita
ClickFix non è un'esclusiva di questa campagna AMOS. Si tratta di un metodo di distribuzione di malware più ampio che sta guadagnando terreno grazie alla sua adattabilità e semplicità. Falsificando sistemi CAPTCHA o banner di consenso ai cookie, gli aggressori inducono gli utenti a eseguire script dannosi. Si tratta di un trucco psicologico: gli utenti vengono indotti a credere di eseguire azioni normali quando, in realtà, stanno compromettendo i loro dispositivi.
Aziende di sicurezza come Darktrace e Cofense hanno segnalato un forte aumento di attacchi di questo tipo in Europa, Medio Oriente, Africa e Nord America. Altre campagne che utilizzano ClickFix hanno diffuso un'ampia gamma di software dannosi, da stealer come PureLogs e Lumma a trojan di accesso remoto come NetSupport RAT .
Perché gli utenti ci cascano
Parte del successo di questa tattica risiede in quella che gli esperti di sicurezza informatica chiamano "verification fatigue" (affaticamento da verifica). Gli utenti moderni sono così abituati a pop-up, CAPTCHA e prompt di routine che spesso cliccano senza controllare. Gli aggressori sfruttano questo comportamento condizionato integrando trappole in quelli che sembrano processi standard.
Copie pixel-perfette delle pagine CAPTCHA da servizi come Google reCAPTCHA o Cloudflare Turnstile non fanno che aumentarne l'affidabilità. In alcuni casi, gli aggressori hanno persino inserito queste false verifiche in siti web legittimi ma compromessi, aggiungendo un ulteriore livello di inganno.
Cosa significa per la sicurezza di macOS
Per anni, gli utenti macOS si sono sentiti relativamente al sicuro dai malware rispetto alle loro controparti Windows. Campagne come quella che ha implementato AMOS servono a ricordare che nessun sistema è immune, soprattutto quando l'anello debole è il comportamento umano. L'uso dell'ingegneria sociale significa che gli aggressori non hanno bisogno di trovare vulnerabilità nel sistema operativo: hanno solo bisogno che gli utenti seguano le istruzioni.
Le implicazioni sono ampie. Evidenzia la necessità di consapevolezza da parte degli utenti, di difese specifiche per ogni piattaforma e la sfida continua di distinguere le azioni legittime del sistema da quelle ingannevoli.
Considerazioni finali
Sebbene macOS offra solide protezioni integrate, queste sono efficaci solo se gli utenti prestano attenzione a ciò che eseguono sui propri sistemi. Gli utenti dovrebbero evitare di eseguire comandi sconosciuti nel Terminale, verificare attentamente l'autenticità degli URL ed essere scettici nei confronti di qualsiasi sito web che richieda loro di verificare la propria identità in modi insoliti.
Con l'evolversi di campagne malware come AMOS, rimanere informati è una delle migliori difese. La consapevolezza non è solo potere, è protezione.
