Allerta sul Nuovo Infostealer per macOS
La società di sicurezza blockchain SlowMist ha lanciato un allerta riguardo a un nuovo infostealer per macOS, altamente distruttivo, chiamato “MacSync Stealer” (v1.1.2). Questa campagna malware è attivamente rivolta agli utenti Apple, con l’obiettivo di svuotare i wallet di criptovaluta e di estrarre credenziali di infrastruttura altamente sensibili. Gli attori malintenzionati utilizzano tattiche ingannevoli di ingegneria sociale per eludere le difese degli utenti.
Funzionamento del Malware
Il malware sfrutta falsi dialoghi di sistema AppleScript che imitano i legittimi prompt di password di macOS, al fine di effettuare phishing delle credenziali di accesso degli utenti. Una volta che la vittima abbocca all’esca, il malware esfiltra silenziosamente i dati in background. MacSync Stealer visualizza un falso messaggio di errore “non supportato” immediatamente dopo il completamento dell’estrazione dei dati, per non suscitare sospetti. Questo inganno fa sembrare che l’applicazione non sia riuscita semplicemente ad avviarsi.
Obiettivi del Malware
Oltre agli utenti di criptovaluta, il malware prende di mira anche le credenziali del browser, i portachiavi di sistema macOS e chiavi di infrastruttura critiche, comprese le credenziali SSH, AWS e Kubernetes (K8s).
Altre Campagne Malware
Questo non è un incidente isolato. Il team di sicurezza di Bybit ha recentemente scoperto una campagna malware che prende di mira gli utenti macOS in cerca di Claude Code. Inoltre, Microsoft Threat Intelligence ha rivelato una campagna macOS altamente mirata orchestrata da “Sapphire Sleet”, un noto attore minaccioso sponsorizzato dallo stato nordcoreano. Sapphire Sleet utilizza tecniche avanzate di ingegneria sociale per impersonare aggiornamenti software legittimi di macOS e rubare wallet di criptovaluta.
Va anche menzionato il malware “Infinity Stealer”, che dimostra come i metodi di attacco centrati su Windows vengano adattati per macOS. Questo malware utilizza la tecnica “ClickFix” per presentare alle vittime una falsa pagina CAPTCHA. Infine, la società di cybersecurity SOC Prime ha identificato “MioLab”, un infostealer per macOS distribuito commercialmente, progettato specificamente per colpire vittime di alto valore, inclusi i detentori di criptovaluta.
