ClearFake attacca utenti Mac con falsi aggiornamenti del browser

Il malware Atomic Stealer (noto come AMOS) si insidia anche tra gli utenti. Ciò è quanto scoperto da MalwareBytes, il quale ha notato che questo malware viene ora fornito agli utenti Mac tramite una falsa catena di aggiornamenti del browser tracciata come “ClearFake”. Come sottolinea MalwareBytes nel suo blog ufficiale: “ClearFake è una campagna malware recente che sfrutta i siti web compromessi per distribuire aggiornamenti del browser falsi. È stato originariamente scoperto da Randy McEoin in agosto e da allora ha subito numerosi aggiornamenti, compreso l'uso di contratti intelligenti per costruire il suo meccanismo di reindirizzamento, rendendolo uno degli schemi di ingegneria sociale più diffusi e pericolosi”. Il 17 novembre, il ricercatore di sicurezza Ankit Anubhav ha osservato che ClearFake veniva distribuito agli utenti Mac tramite falsi aggiornamenti di Chrome e Safari. Le pagine sono “identiche” a quelle ufficiali e disponibili in diverse lingue (come nel caso di Safari).

ClearFake: come funziona l’attacco agli utenti macOS

Come appena accennato, il payload destinato agli utenti Mac è un file DMG che pretende di essere un aggiornamento di Safari o Chrome. Dopo aver aperto il file e indotto gli utenti ad inserire la password di sistema, il malware esegue immediatamente i comandi. Osservando le stringhe dell'applicazione dannosa, MalwareBytes è riuscita a visualizzare i comandi che includono funzionalità di acquisizione di password e file, ma anche il server di comando e controllo del malware a cui vengono inviati i dati rubati. Per anni, i falsi aggiornamenti del browser sono stati un problema regolare per gli utenti Windows. Ma finora gli hacker non avevano ancora colpito gli utenti macOS. Poiché gli stealer come AMOS sono ormai popolari, è divenuto facile per gli autori delle minacce apportare modifiche al payload per adattarlo a utenti diversi.

È importante notare che oggi i cybercriminali hanno la capacità di raggiungere un pubblico molto vasto a cui rubare credenziali e dati personali. Considerando che ClearFake è recentemente diventata una delle principali campagne di ingegneria sociale, gli utenti Mac dovrebbero prestarvi particolare attenzione. MalwareBytes consiglia agli utenti di installare gli strumenti di protezione web per bloccare l'infrastruttura dannosa associata a questo attore della minaccia. Con un elenco sempre crescente di siti web compromessi a loro disposizione, questi cybercriminali rappresentano un rischio significativo per la sicurezza e la privacy degli utenti, anche su macOS.