C’è in circolazione un nuovo tipo di malware per macOS che si camuffa da file crack di CleanMyMac o Photoshop al fine di rubare dati dai browser e dai portafogli di criptovalute. A riferirlo è stata la squadra di Moonlock Lab di MacPaw, informando che nella maggior parte dei casi il malware si presenta come un’app legittima. La sicurezza informatica su macOS è messa alla prova da questa nuova minaccia che prende di mira dati sensibili e risorse crittografiche.
Il malware in questione è una variante del noto Atomic Stealer, già identificato inizialmente nel 2023. Questo malware ha subito evoluzioni significative, diventando particolarmente difficile da rilevare e quindi più pericoloso per gli utenti. Una volta installato, può utilizzare AppleScript per indurre gli utenti a rivelare le proprie password, rubare cookie da browser come Chrome e Safari e autoeliminarsi se rileva che è in esecuzione su una macchina virtuale.
Come funziona il malware
Lo script del malware inizia ottenendo il nome utente corrente dal sistema insieme ad altri percorsi di sistema essenziali per un uso successivo. Successivamente, crea una cartella temporanea per archiviare i dati rubati prima di inviarli. Questo processo avviene in modo discreto, senza che l’utente si accorga di nulla, compromettendo la sicurezza dei dati personali e delle credenziali sensibili.
Il malware è in grado di rubare file del portafoglio, dando potenzialmente all’aggressore l’accesso alle risorse crittografiche della vittima. I portafogli a rischio includono Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance e TonKeeper. Questo rende il malware una minaccia significativa per chiunque utilizzi criptovalute.
Oltre ai portafogli di criptovalute, il malware copia il file “login.keychain-db”, che contiene i dati del portachiavi macOS come password e credenziali sensibili. Prende anche i dati da Note di Apple copiando “NoteStore.sqlite” e i file correlati. Questi dati possono essere utilizzati per accedere ad altre informazioni personali e compromettere ulteriormente la sicurezza dell’utente.
Misure preventive per gli utenti Mac
Considerando la situazione, gli utenti Mac devono adottare alcune misure preventive per rimanere al sicuro:
- Scaricare software solo da fonti ufficiali: Evitare siti di terze parti e scaricare sempre i software dal sito Web ufficiale o dal Mac App Store.
- Controllare l’URL: Verificare l’URL del sito Web per scovare la presenza di indizi riconducibili a minacce informatiche.
- Evitare link sospetti: Non cliccare su link sospetti ricevuti via email o messaggi.
- Aggiornare regolarmente macOS e le applicazioni: Mantenere sempre aggiornato il sistema operativo e tutte le applicazioni installate.
- Utilizzare Gatekeeper: Questa funzionalità integrata di macOS garantisce che possano essere installate solo app firmate e attendibili.
Tabella: Portafogli di criptovalute a rischio
| Portafoglio | Tipo di criptovaluta |
|---|---|
| Electrum | Bitcoin |
| Coinomi | Multivaluta |
| Exodus | Multivaluta |
| Atomic Wallet | Multivaluta |
| Wasabi Wallet | Bitcoin |
| Ledger Live | Multivaluta |
| Feather (Monero) | Monero |
| Bitcoin Core | Bitcoin |
| Litecoin Core | Litecoin |
| Dash Core | Dash |
| Electrum-LTC | Litecoin |
| Electron Cash | Bitcoin Cash |
| Guarda Wallet | Multivaluta |
| Dogecoin Core | Dogecoin |
| Binance | Multivaluta |
| TonKeeper | Toncoin |
Il nuovo malware per macOS rappresenta una seria minaccia per la sicurezza degli utenti, specialmente per coloro che utilizzano criptovalute. La variante di Atomic Stealer è progettata per rubare dati sensibili e risorse crittografiche, mascherandosi da file crack di applicazioni popolari. Gli utenti devono essere estremamente cauti e adottare misure preventive per proteggersi da questa pericolosa minaccia informatica.
