Malware su macOS tramite aggiornamenti browser falsi: attenzione alla campagna ClearFake

La campagna malware ClearFake che diffonde falsi aggiornamenti di Google Chrome si è recentemente estesa agli utenti Mac, con l'obiettivo di recapitare alle vittime il malware Atomic Stealer, che ruba informazioni sensibili dal sistema compromesso.

ClearFake, emersa nel corso del mese di luglio, è basata su tecniche di JavaScript injection allo scopo di mostrare popup ingannevoli che spingano l'utente ad effettuare un presunto aggiornamento del browser, portandolo in realtà a scaricare malware.

Nel corso del mese di ottobre i ricercatori di sicurezza di Guardio Labs hanno inoltre osservato che la campagna ClearFake si è estesa sfruttando la blockchain di Binance, occultando script maligni all'interno di Smart Contract della Binance Smart Chain capaci di diffondere infostealer come RedLine, Lumma e Amadey.

Si è trattato, fino a poche settimane fa, di una campagna indirizzata nello specifico verso utenti Windows ma che, come abbiamo accennato in apertura, ora si sta rivolgendo anche agli utenti della Mela.

Una falsa richiesta di aggiornamento del browser - Fonte: Malwarebytes

Nei giorni scorsi sono state individuate specifiche routine di attacco, che cercano di indurre l'utente a scaricare un aggiornamento del browser Safari contenuto in un file DMG. In questo caso il payload contenuto all'interno di archivo DMG è Atomic, un malware in grado di sottrarre cookie di sessione, credenziali salvate e numeri di carte di credito dai principali browser web, così come file e documenti salvato in locale e wallet di criptovalute.

Uno degli obiettivi principali di Atomic è la compromissione del portachiavi di macOS, che contiene informazioni crittografate come password Wi-Fi e dati di accesso ad account e servizi web. Si comprende immediatamente che la violazione del portachiavi di macOS permette agli hacker di poter avere accesso a qualsiasi risorsa del sistema e a tutto ciò che riguarda la vita digitale dell'utente. Nonostante Atomic sia noto almeno da aprile 2023, esso riesce ad aggirare circa la metà degli antivirus presenti sul mercato grazie alle sue capacità di occultamento.

In ogni caso è bene tenere presente che i browser moderni sono tutti dotati di meccanismi di aggiornamento interni al browser stesso, spesso anche con impostazioni automatiche. Scaricare un "aggiornamento del browser" semplicemente perché c'è un banner o un popup che ce lo ricorda su un sito non è mai una buona idea. Noi "smanettoni" lo sappiamo: ricordiamoci di sensibilizzare anche chi è meno avvezzo di noi agli strumenti informatici.