Nuovi attacchi su macOS con file DMG contraffatti

Nuovi attacchi su macOS con file DMG contraffatti

Nuovi attacchi su macOS con file DMG contraffatti

Se usi un Mac, la regola più importante è questa: non aprire installer scaricati da fonti non affidabili e non ignorare mai gli avvisi di sicurezza. In molti casi, la truffa punta proprio a farti cliccare su un falso programma che sembra legittimo ma serve a rubare credenziali, cookie del browser, token di accesso e persino wallet di criptovalute.

Negli ultimi mesi, gli attaccanti hanno sfruttato una tattica molto efficace: nascondere malware all’interno di file DMG, cioè immagini disco che si presentano come normali installer per macOS. L’obiettivo non è infettare il sistema con tecniche complesse, ma convincere la vittima a fare il lavoro al posto loro, approvando l’installazione e aggirando le protezioni integrate.

Questa strategia è diventata particolarmente insidiosa perché fa leva su un’idea ancora diffusa: che i dispositivi Apple siano “sicuri per default”. In realtà, i criminali informatici considerano sempre più spesso gli ambienti macOS un bersaglio di alto valore, soprattutto per il contenuto dei dati che possono essere sottratti in pochi secondi.

Perché i Mac sono finiti nel mirino

La crescita degli attacchi contro macOS riflette un cambiamento evidente nelle priorità degli aggressori. Una quota molto ampia del malware macOS recentemente segnalato rientra nella categoria degli infostealer, cioè programmi progettati per rubare informazioni sensibili invece di mantenersi nascosti a lungo sul dispositivo.

Questa scelta è logica dal punto di vista dell’attaccante. Se il malware riesce a ottenere accessi validi, il valore dei dati rubati può essere immediato: account cloud, sessioni web già aperte, password memorizzate, cookie di autenticazione e accessi a portafogli digitali. Non serve installare una minaccia persistente; basta completare un’azione rapida e silenziosa.

In pratica, il modello è quello del colpisci e fuggi. Il malware entra, estrae i dati e li invia a un server remoto prima che la vittima si accorga di qualcosa di anomalo.

Come funziona la trappola

La catena di infezione inizia spesso nel browser. L’utente arriva su risultati di ricerca manipolati, forum di pirateria o pagine che imitano siti noti e scarica un finto installer. Il file è costruito per sembrare innocuo, spesso con grafiche brandizzate, icone familiari e istruzioni che guidano l’utente passo dopo passo.

Il punto centrale dell’attacco è il momento dell’installazione. I criminali non cercano solo di distribuire il file: cercano soprattutto di ottenere l’approvazione dell’utente per superare le protezioni di macOS. In molti casi, le istruzioni per aggirare Gatekeeper sono incorporate in modo creativo nel contenuto del file, nel nome dell’app o persino nell’immagine di sfondo della finestra dell’installer.

I DMG vengono scelti perché appaiono familiari agli utenti Mac e perché, rispetto ad altri formati, possono suscitare meno sospetti durante il download e l’apertura. Quando l’utente fa doppio clic, macOS monta il contenuto come disco virtuale, creando un ambiente isolato che però perde efficacia nel momento in cui la vittima segue le istruzioni dell’attaccante.

Le tecniche più usate dagli aggressori

Una delle tecniche più comuni è la falsificazione visiva. Il file sembra un normale installer di un’app nota, con loghi e layout plausibili, ma include elementi che invitano a ignorare gli avvisi di sistema. In alcuni casi, le indicazioni per bypassare le protezioni Apple sono nascoste nella grafica della finestra, così da risultare meno visibili a un controllo rapido.

Un’altra variante consiste nell’uso di nomi di file ingannevoli, ad esempio formulazioni che suggeriscono di trascinare un elemento nel Terminale o di eseguire comandi manualmente. Questo tipo di messaggio sfrutta la curiosità e l’abitudine degli utenti a seguire istruzioni quando pensano di stare installando un software normale.

Anche i siti di software piratato hanno un ruolo importante nella distribuzione. Le etichette come “cracked” o “attivato” abbassano la soglia di attenzione, perché abituano gli utenti a considerare normali comportamenti che in realtà sono segnali di rischio.

Perché questi malware sono così efficaci

Il motivo principale è che puntano sulla social engineering, non su una vulnerabilità tecnica complessa. L’attaccante non ha bisogno di violare il sistema operativo se può convincere l’utente ad autorizzare l’azione per lui.

Inoltre, molti strumenti di difesa endpoint si concentrano sul rilevamento del comportamento malevolo dopo l’esecuzione. Ma in questo caso il danno può essere già compiuto nel momento in cui il malware viene avviato. Se il furto dei dati avviene in pochi istanti, la finestra per intervenire è molto stretta.

Questo rende l’installazione il vero punto critico. Se l’utente blocca il processo prima del primo clic sbagliato, l’attacco fallisce. Se invece procede oltre gli avvisi, il rischio aumenta rapidamente.

Cosa fare subito per proteggersi

La prima misura è scaricare software solo da fonti attendibili, come il sito ufficiale dello sviluppatore o l’App Store quando disponibile. È altrettanto importante evitare forum, repository casuali e pacchetti distribuiti come versioni “craccate” o “modificate”.

Altri segnali di allarme meritano attenzione immediata:

  • richieste di trascinare file nel Terminale;
  • istruzioni per disattivare o aggirare le protezioni di sistema;
  • installer che chiedono autorizzazioni insolite;
  • finestre che imitano app legittime ma hanno dettagli grafici poco coerenti;
  • download avviati da risultati di ricerca poco affidabili.

Se un file DMG sembra sospetto, la scelta migliore è interrompere tutto e rimuovere l’immagine disco montata prima di procedere oltre. Se l’installazione è già partita, è utile controllare immediatamente attività anomale legate a browser, sistema di autenticazione e accessi ai dati sensibili.

Come riconoscere un installer falso

Un installer falso non punta sempre a sembrare malevolo. Spesso cerca di sembrare troppo normale. Questo significa che può presentare:

  • un’interfaccia pulita e minimalista;
  • un logo noto o quasi identico a quello originale;
  • un messaggio che invita a completare una procedura “necessaria”;
  • istruzioni per superare un controllo di sicurezza;
  • un file con nome progettato per sembrare tecnico o standard.

Gli utenti dovrebbero abituarsi a verificare il contesto prima di autorizzare qualsiasi installazione. Se il programma arriva da una fonte sconosciuta o la procedura richiede passaggi insoliti, la probabilità di truffa aumenta.

Impatto per utenti e aziende

Per un utente domestico, il rischio principale è la perdita di account personali, accessi email, dati salvati nel browser e credenziali riutilizzate su altri servizi. Per un’azienda, invece, il problema può essere più ampio: un singolo endpoint compromesso può fornire accesso a strumenti di lavoro, piattaforme cloud e sistemi interni.

Gli infostealer sono particolarmente pericolosi proprio perché trasformano un errore umano in una compromissione ad alto impatto. Se le credenziali rubate vengono riutilizzate, l’attacco può estendersi oltre il dispositivo iniziale e colpire altri ambienti collegati.

Buone pratiche di prevenzione

Una strategia efficace non dipende da un solo controllo, ma da più livelli di attenzione:

  • usare solo fonti ufficiali per i download;
  • mantenere aggiornato macOS;
  • non disattivare le protezioni di sistema;
  • controllare con cautela i messaggi di sicurezza;
  • evitare software piratato o distribuito in modo informale;
  • usare password uniche e autenticazione a più fattori.

Anche una semplice abitudine può fare la differenza: prima di installare un software, chiedersi se il sito, il file e le istruzioni hanno davvero senso. Se qualcosa sembra forzato, ambiguo o eccessivamente urgente, è spesso il momento di fermarsi.

Technical Deep Dive

Gli attacchi basati su DMG sfruttano una combinazione di abuso del formato, manipolazione dell’interfaccia e pressione psicologica. L’immagine disco viene usata come contenitore per distribuire un payload che non punta necessariamente alla persistenza, ma alla massimizzazione della velocità di esfiltrazione.

Dal punto di vista operativo, il momento più interessante per il rilevamento è il mount event del DMG. Un monitor efficace può osservare i volumi montati in /Volumes, verificare la presenza di directory nascoste come .background e analizzare i contenuti grafici dell’installer per individuare istruzioni sospette. In alcuni casi, il testo non è presente come stringa evidente nell’HTML o in un file leggibile, ma è incorporato in un’immagine; per questo l’uso di OCR può essere utile per estrarre frasi che invitano l’utente a bypassare Gatekeeper.

Un ulteriore segnale è la presenza di nomi file o etichette volutamente ambigue, incluse varianti con errori ortografici o formulazioni che simulano istruzioni operative. In ambito difensivo, il fuzzy matching aiuta a intercettare questi tentativi di evasione quando i termini esatti sono stati alterati per sfuggire ai filtri lessicali.

Quando un DMG sospetto viene identificato, la risposta dovrebbe essere immediata: smontare l’immagine disco, interrompere i processi collegati e verificare eventuali attività successive come accessi a Keychain, modifiche ai profili utente o tentativi di escalation dei privilegi. Se l’esecuzione è già avvenuta, il focus si sposta sull’analisi del comportamento: connessioni in uscita verso domini insoliti, tentativi di raccolta di dati dal browser, accesso a token di sessione e anomalie nei processi dell’utente.

Dal lato della prevenzione, i controlli più efficaci sono quelli che riducono la fiducia implicita nel software scaricato. Questo significa applicare criteri rigorosi ai download, limitare l’esecuzione di installer provenienti dal web e rafforzare la consapevolezza dell’utente sui messaggi che chiedono di ignorare una protezione del sistema. In questi attacchi, infatti, la componente tecnica e quella comportamentale sono inseparabili: il malware funziona perché qualcuno accetta di eseguirlo.

Fonte: https://cybersecuritynews.com/hackers-use-weaponized-dmg-files/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto