{"id":28315,"date":"2023-12-18T11:04:47","date_gmt":"2023-12-18T09:04:47","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28315"},"modified":"2023-12-18T11:04:47","modified_gmt":"2023-12-18T09:04:47","slug":"macos-users-cyberthreats-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/macos-users-cyberthreats-2023\/28315\/","title":{"rendered":"I Mac sono sicuri? Minacce per gli utenti macOS"},"content":{"rendered":"

Molti utenti Apple credono che il sistema operativo macOS sia cos\u00ec sicuro che nessuna minaccia informatica possa danneggiarli, quindi non devono preoccuparsi di proteggere i propri dispositivi. Tuttavia, non \u00e8 assolutamente cos\u00ec: sebbene ci siano effettivamente<\/em> meno malware per macOS, sono comunque molto pi\u00f9 comuni di quanto i possessori di dispositivi Apple vorrebbero pensare.<\/p>\n

In questo post discutiamo delle minacce attuali per gli utenti macOS e di come proteggere efficacemente il Mac. Per illustrare l\u2019esistenza di virus per macOS, esamineremo tre studi recenti su diverse famiglie di malware che sono stati pubblicati nelle ultime settimane.<\/p>\n

BlueNoroff attacca gli utenti macOS e ruba le criptovalute<\/h2>\n

Alla fine di ottobre 2023, i nostri ricercatori hanno scoperto un nuovo Trojan macOS<\/a> che si ritiene sia associato a BlueNoroff<\/a>, \u201cl\u2019ala commerciale\u201d del gruppo APT Lazarus<\/a> che lavora per la Corea del Nord. Questo sottogruppo \u00e8 specializzato in attacchi finanziari e si concentra in particolare su due cose: innanzitutto, gli attacchi al sistema SWIFT (inclusa la famigerata rapina alla Banca centrale del Bangladesh<\/a>) e, in secondo luogo, il furto di criptovalute da organizzazioni e individui.<\/p>\n

Il downloader di Trojan<\/a> per macOS che \u00e8 stato scoperto viene distribuito all\u2019interno di archivi dannosi. \u00c8 camuffato da documento PDF intitolato \u201cCrypto-assets and their risks for financial stability\u201d, con un\u2019icona che imita un\u2019anteprima di questo documento.<\/p>\n

\"BlueNoroff\/RustBucket:

Pagina di copertina del PDF ingannevole scaricato dal Trojan e mostrato all\u2019utente quando si avvia il file da un archivio infetto. Fonte<\/a><\/p><\/div>\n

Quando l\u2019utente fa clic sul Trojan (mascherato da file PDF), viene eseguito uno script che scarica effettivamente il documento PDF corrispondente da Internet e lo apre. Ma, naturalmente, non \u00e8 tutto quello che accade. Il compito principale del Trojan \u00e8 quello di scaricare un altro virus, che raccoglie informazioni sul sistema infetto, le invia al server di comando e controllo (C2), quindi attende un comando per eseguire una di due possibili azioni: eliminazione automatica o salvataggio in un file ed esecuzione del codice dannoso inviato in risposta dal server.<\/p>\n

Trojan proxy nel software piratato per macOS<\/h2>\n

Alla fine di novembre 2023, i nostri ricercatori hanno scoperto un\u2019altra istanza di malware che minaccia gli utenti Mac: un Trojan proxy, distribuito insieme a software piratato per macOS. In particolare, questo Trojan \u00e8 stato aggiunto ai file PKG di programmi di editing video, strumenti di recupero dati, utilit\u00e0 di rete, convertitori di file e diversi altri software violati. L\u2019elenco completo dei programmi di installazione infetti scoperti dai nostri esperti \u00e8 disponibile alla fine del rapporto pubblicato su Securelist<\/a>.<\/p>\n

Come accennato in precedenza, questo malware appartiene alla categoria dei Trojan proxy, ovvero un malware che imposta un server proxy nel computer infetto, creando essenzialmente un host per reindirizzare il traffico Internet. Successivamente, i cybercriminali possono utilizzare tali dispositivi infetti per creare una rete a pagamento di server proxy, guadagnando dalle persone interessate a tali servizi.<\/p>\n

In alternativa, i proprietari del Trojan potrebbero utilizzare direttamente i computer infetti per svolgere attivit\u00e0 criminali a nome della vittima, che si tratti di attaccare siti Web, aziende o altri utenti o di acquistare armi, sostanze stupefacenti o altre merci illegali.<\/p>\n

Stealer Atomic in falsi aggiornamenti del browser Safari<\/h2>\n

Sempre a novembre 2023 \u00e8 stata scoperta<\/a> una nuova campagna dannosa per diffondere un altro Trojan per macOS, noto come Atomic e appartenente alla categoria degli stealer<\/a>. Questo tipo di malware cerca, estrae e invia ai suoi creatori informazioni di ogni tipo trovate nel computer della vittima, in particolare i dati salvati nei browser. Gli account di accesso e le password, i dettagli delle carte bancarie, le chiavi dei wallet di criptovalute e analoghe informazioni sensibili sono di particolare valore per gli stealer.<\/p>\n

Il Trojan Atomic \u00e8 stato scoperto e descritto<\/a> per la prima volta a marzo 2023. La novit\u00e0 \u00e8 che ora gli autori degli attacchi hanno iniziato a utilizzare falsi aggiornamenti per i browser Safari e Chrome per diffondere il Trojan Atomic. Questi aggiornamenti vengono scaricati da pagine dannose che imitano in modo molto convincente i siti Web originali di Apple e Google.<\/p>\n

\"Falsi

Un sito con falsi aggiornamenti del browser Safari che in realt\u00e0 contengono lo stealer Atomic.Fonte<\/a><\/p><\/div>\n

Una volta in esecuzione su un sistema, il Trojan Atomic tenta di rubare le seguenti informazioni dal computer della vittima:<\/p>\n