Siti di supporto macOS dannosi promuovono il furto di informazioni in una campagna di inganno mirata
Una sofisticata campagna di malvertising, che ha preso di mira centinaia di organizzazioni tra giugno e agosto 2025, è stata scoperta dalla società di cybersecurity CrowdStrike. La campagna, che mirava a distribuire una variante del ladro di dati per macOS Atomic (AMOS), è stata condotta dal gruppo di minacce sponsorizzato dallo stato noto come Salt Typhoon, un'APT (Advanced Persistent Threat).
Il sito di malvertising è apparso nei risultati di ricerca di Google in diverse località, tra cui Regno Unito, Giappone, Cina, Colombia, Canada, Messico, Italia e altre. I siti web fraudolenti di assistenza per macOS fornivano istruzioni false agli utenti, distraendoli verso questi siti e incoraggiandoli ad eseguire un comando di installazione dannoso in una sola linea.
Il file scaricato era uno script Bash che catturava la password dell'utente. Questo comando, quando eseguito, scaricava un file da un sito web. Il file scaricato era un executable Mach-O SHAMOS, un tipo di infostealer. La tecnica utilizzata ha consentito ai cybercriminali di bypassare i controlli di sicurezza di Gatekeeper e di installare l'executable Mach-O direttamente sui dispositivi delle vittime.
CrowdStrike ha valutato con alta certezza che gli attori del crimine informatico continueranno a utilizzare sia la malvertising che i comandi di installazione in una sola linea per distribuire i ladri di dati per macOS. In precedenza, gli operatori di Cuckoo Stealer e SHAMOS hanno utilizzato questo metodo in campagne di malvertising Homebrew tra maggio 2024 e gennaio 2025.
In risposta a questa campagna, CrowdStrike ha bloccato la campagna di malvertising dal tentare di compromettere più di 300 ambienti dei suoi clienti durante questo periodo. La società ha inoltre pubblicato un blog sulla campagna di malvertising, fornendo informazioni sulle tecniche utilizzate e raccomandazioni per proteggersi da tali attacchi.
I risultati di CrowdStrike mettono in evidenza la popolarità dei comandi di installazione dannosi in una sola linea tra gli attori del crimine informatico. La società ha dichiarato che questa campagna sottolinea la necessità di vigilanza e di misure di sicurezza robuste per proteggersi contro tali minacce. Si consiglia alle organizzazioni di essere caute quando si clicca sui link da fonti sconosciute e di verificare l'autenticità di qualsiasi file scaricato prima di eseguirli.
Nel caso della variante SHAMOS di AMOS, il malware è progettato per rubare dati sensibili come le credenziali di accesso, la cronologia del browser e altre informazioni personali. È importante che gli utenti aggiornino regolarmente i loro sistemi e il software antivirus per proteggersi contro tali minacce.
In conclusione, la recente campagna di malvertising che ha preso di mira gli utenti di macOS serve come promemoria del costante pericolo rappresentato dagli attori del crimine informatico. Restando vigili e implementando misure di sicurezza solide, le organizzazioni e gli individui possono proteggersi contro tali minacce e tutelare i propri dati sensibili.
