Gli utenti Mac si trovano nel mirino di una sofisticata campagna di attacchi informatici che sfrutta la fiducia riposta nei repository GitHub e nei motori di ricerca per diffondere malware pericolosi. Il team di sicurezza di LastPass ha identificato una rete di siti web fraudolenti che impersonano aziende legittime, dai gestori di password alle piattaforme di e-commerce, con l'obiettivo di installare sui dispositivi macOS il temibile Atomic Stealer. Questa minaccia rappresenta un'evoluzione preoccupante delle tecniche di ingegneria sociale, combinando la manipolazione dei risultati di ricerca con l'imitazione di strumenti software ampiamente utilizzati nel mondo professionale.
La trappola nascosta nei risultati di ricerca
I cybercriminali hanno orchestrato un attacco su più fronti, utilizzando tecniche di ottimizzazione SEO per posizionare i loro siti malevoli nelle prime posizioni dei risultati di Google e Bing. Quando gli utenti cercano software legittimi per macOS, si imbattono in pagine GitHub apparentemente ufficiali che imitano perfettamente l'aspetto di repository autentici. Il LastPass Threat Intelligence, Mitigation, and Escalation Team ha documentato come questi falsi repository reindirizzino le vittime verso il download dell'infostealer Atomic, mascherato da software aziendale per macOS.
La strategia degli attaccanti si basa su una profonda comprensione del comportamento degli utenti Mac, spesso considerati più attenti alla sicurezza rispetto ai loro colleghi Windows. I nomi dei repository utilizzano terminologie specifiche come "MacOS", "Mac" o "Premium on Macbook" per aumentare la loro credibilità e apparire nei risultati di ricerca pertinenti.
Un'ampia gamma di vittime nel mirino
L'elenco delle aziende impersonate rivela l'ambizione della campagna: oltre a LastPass, i truffatori hanno creato falsi repository per 1Password, Dropbox, Notion, Shopify e numerose altre piattaforme popolari. Questa diversificazione dimostra come gli attaccanti stiano cercando di massimizzare le loro possibilità di successo, puntando su strumenti utilizzati quotidianamente da professionisti e aziende di ogni settore, dalle istituzioni finanziarie alle società tecnologiche.
LastPass ha rapidamente identificato e segnalato per la rimozione due repository fraudolenti specificamente mirati alla loro piattaforma, che risultano ora inattivi. Tuttavia, gli esperti avvertono che gli aggressori stanno utilizzando account GitHub multipli per aggirare le misure di rimozione, rendendo questa una battaglia continua tra difensori e attaccanti.
Il meccanismo di infezione ClickFix
Una volta che la vittima raggiunge il repository falsificato, entra in gioco una tecnica di infezione nota come ClickFix. Gli utenti vengono guidati attraverso istruzioni apparentemente innocue da eseguire nel Terminale di macOS, credendo di installare software legittimo. Questo approccio è particolarmente insidioso perché sfrutta la familiarità degli utenti Mac con l'interfaccia a riga di comando e la loro tendenza a fidarsi di istruzioni che sembrano provenire da fonti ufficiali.
L'Atomic Stealer, una volta installato, rappresenta una minaccia seria per la privacy e la sicurezza degli utenti. Questo tipo di malware è progettato specificamente per raccogliere informazioni sensibili dai dispositivi infetti, incluse credenziali, dati personali e informazioni finanziarie, che vengono poi esfiltrate verso server controllati dai cybercriminali.
Difendersi dalla minaccia in evoluzione
La natura dinamica di questa campagna richiede un approccio proattivo alla sicurezza. I ricercatori di LastPass hanno condiviso indicatori di compromissione specifici per aiutare i team di sicurezza a identificare e mitigare gli attacchi. La continua creazione di nuovi account GitHub da parte degli attaccanti sottolinea l'importanza di mantenere alta la guardia e di verificare sempre l'autenticità delle fonti prima di scaricare qualsiasi software.
Per gli utenti Mac, questa campagna rappresenta un promemoria importante: anche l'ecosistema Apple non è immune da sofisticate minacce informatiche. La raccomandazione principale rimane quella di scaricare software esclusivamente da fonti ufficiali e di prestare particolare attenzione quando i motori di ricerca conducono a repository GitHub per il download di applicazioni commerciali, che solitamente vengono distribuite attraverso canali ufficiali come l'App Store o i siti web delle aziende stesse.