La sicurezza informatica dei dispositivi Apple è tornata sotto i riflettori con la scoperta di una sofisticata campagna di malware che prende di mira specificamente gli utenti Mac. Contrariamente alla diffusa convinzione che i computer Apple siano immuni da attacchi informatici, questa nuova minaccia dimostra quanto sia vulnerabile anche l'ecosistema macOS quando gli hacker impiegano tecniche di ingegneria sociale particolarmente raffinate. La campagna, identificata dai ricercatori di CloudSEK, utilizza una variante del noto malware Atomic Stealer per sottrarre informazioni sensibili dagli utenti ignari.
Gli esperti di cybersicurezza hanno attribuito l'origine dell'attacco a gruppi di hacker russi, basandosi sull'analisi dei commenti presenti nel codice sorgente del malware. Il gruppo criminale ha dimostrato una particolare abilità nel combinare diverse tecniche di attacco, rendendo la loro strategia particolarmente insidiosa e difficile da rilevare per l'utente medio.
La tecnica principale impiegata dai cybercriminali si basa su una combinazione letale di typosquatting e manipolazione psicologica degli utenti. I malintenzionati hanno registrato domini che imitano perfettamente siti web legittimi, sfruttando gli errori di digitazione più comuni che gli utenti commettono quando inseriscono un URL nella barra degli indirizzi del browser.
Il raggiro che imita Spectrum
Nel caso specifico documentato dai ricercatori, gli hacker hanno preso di mira i clienti di Spectrum, uno dei maggiori fornitori di servizi internet e via cavo degli Stati Uniti. Invece di dirigersi verso il sito ufficiale spectrum.com, le vittime finiscono su domini fasulli come panel-spectrum.net, che replicano fedelmente l'aspetto e la struttura del sito originale. La somiglianza è così accurata che anche utenti esperti potrebbero non accorgersi immediatamente della differenza.
Una volta atterrati sul sito contraffatto, gli utenti vengono invitati a completare un test reCAPTCHA per verificare di non essere bot automatizzati. Questa richiesta appare del tutto normale, considerando che moltissimi siti web legittimi utilizzano sistemi di verifica simili per proteggere i propri servizi. Tuttavia, il tranello si nasconde proprio in questa apparente normalità: quando la verifica fallisce deliberatamente, viene proposta una "verifica alternativa" che innesca il vero attacco.
Il meccanismo di infezione si basa su quella che gli esperti chiamano tecnica "ClickFix". Quando l'utente clicca sul pulsante della verifica alternativa, un comando dannoso viene copiato automaticamente negli appunti del sistema senza che la vittima se ne accorga. Sullo schermo appaiono quindi istruzioni che sembrano legittime, chiedendo di aprire il terminale di sistema, incollare il codice copiato e premere invio.
Una volta che Atomic Stealer si installa nel sistema, le sue capacità di furto dati sono estremamente ampie e preoccupanti. Il malware è progettato per accedere alle password memorizzate nel Portachiavi di Apple, uno degli strumenti di sicurezza più fidati dagli utenti Mac per la gestione delle credenziali. Inoltre, è in grado di sottrarre cookie dei browser, credenziali di accesso a vari servizi online, dettagli delle carte di credito e altre informazioni finanziarie sensibili.
Ovviamente, la prevenzione rimane l'arma più efficace contro questo tipo di attacchi informatici. Il consiglio è quello di digitare sempre manualmente gli indirizzi web nella barra del browser, prestando particolare attenzione all'ortografia corretta del dominio. Quando si è incerti sull'URL corretto di un'azienda, è preferibile utilizzare un motore di ricerca, ma con una cautela importante: evitare di cliccare sui primi risultati se contrassegnati come annunci pubblicitari.
Nonostante macOS includa XProtect, il sistema di protezione integrato di Apple, è anche il caso di considerare l'installazione di soluzioni antivirus dedicate per Mac. Questi software specializzati vengono aggiornati con maggiore frequenza e sono spesso più efficaci nel rilevare varianti recenti di malware come Atomic Stealer.