Il malware camuffato da applicazioni legittime è una tra le tecniche più utilizzate dai cybercriminali. L’ultimo episodio segnalato arriva da X, dove un annuncio sponsorizzato pubblicato da un account verificato è stato utilizzato per distribuire un software malevolo destinato agli utenti Mac.
La scoperta è stata effettuata dal team di Jamf Threat Labs, che hanno individuato una campagna di tipo ClickFix diffusa attraverso una promozione a pagamento sulla piattaforma. L’annuncio imitava una nota applicazione per macOS, inducendo gli utenti a installare inconsapevolmente un malware.
L’annuncio imitava la popolare app DynamicLake
Secondo quanto riportato da Jamf Threat Labs, l’inserzione si presentava come DynamicLake, una reale utility per Mac che trasforma il notch dei MacBook in una sorta di Dynamic Island completamente funzionante.
L’inganno risultava particolarmente credibile perché il collegamento pubblicizzato reindirizzava gli utenti verso un sito fraudolento che imitava quello dell’applicazione originale, ma che non aveva alcun legame con gli sviluppatori del software.
Una volta aperta la pagina, agli utenti veniva chiesto di avviare il Terminale di macOS e incollare un comando. L’esecuzione di tale codice installava silenziosamente il malware sul computer della vittima. Si tratta di una tecnica tipica degli attacchi ClickFix. I ricercatori ricordano che le applicazioni legittime non richiedono mai agli utenti di installare software eseguendo comandi manuali nel Terminale.
Installato un malware della famiglia Atomic Stealer
L’analisi di Jamf Threat Labs ha identificato il payload distribuito come una recente variante di Atomic Stealer, monitorata dai ricercatori con il nome MacSync. In campagne analoghe sono stati inoltre rilevati casi di diffusione del malware DigitStealer.
L’obiettivo di queste minacce è generalmente quello di sottrarre dati sensibili, credenziali e informazioni personali presenti sui dispositivi compromessi. Ciò che ha fatto discutere è il fatto che l’annuncio provenisse da un account verificato e con un elevato numero di follower: un elemento che poteva indurre gli utenti a credere che si trattasse di qualcosa di legittimo.
Anche il proprietario dell’account, secondo le prime informazioni, avrebbe approvato la sponsorizzazione convinto che si trattasse di un contenuto autentico, senza accorgersi che il collegamento conduceva a un dominio fraudolento. Di fatto, l’annuncio è riuscito a superare ed eludere i controlli della piattaforma.
Dopo la segnalazione di Jamf Threat Labs, X ha rimosso rapidamente l’annuncio sponsorizzato dalla piattaforma.