Ero dell’opinione che i MacBook fossero relativamente più sicuri di altri laptop, ma mi è stato smentito. Vergognoso e chiaramente sbagliato. Un nuovo rapporto di Sophos X-Ops Non risparmiò alcuno sforzo per strofinarmi il naso.
I ricercatori dell’azienda hanno monitorato tre distinte campagne di attacco tra novembre 2025 e febbraio 2026, tutte rivolte agli utenti macOS con qualcosa chiamato MacSync skimmer. Per chi è informato, questo è un tipo di malware che scansiona silenziosamente le tue password e le credenziali salvate e agisce come un borseggiatore digitale.
Allora come funziona realmente?
Il malware utilizzava un metodo di distribuzione chiamato ClickFix, che richiede uno sforzo tecnico minimo. Le vittime devono semplicemente copiare e incollare un comando nel terminale del loro Mac (progettato per eseguire comandi basati su testo) e premere Invio sulla tastiera.
Innanzitutto, i malintenzionati hanno utilizzato false pagine di download di OpenAI distribuite tramite annunci sponsorizzati su Google (situate proprio sopra il collegamento legittimo). Poi sono diventati ancora più creativi: gli aggressori hanno iniziato a condividere conversazioni di backhaul ChatGPT con il pretesto di “utili guide Mac”.
Queste guide indirizzavano gli utenti a false pagine GitHub contenenti istruzioni di installazione del software accuratamente realizzate, ma in realtà chiedevano agli utenti di copiare un comando del terminale che consentisse allo skimmer ManSync di funzionare in background. Questo è tutto; Questo è l’intero attacco.
Quanto è andata male?
Sophos ha scoperto che solo nel dicembre 2025, i malintenzionati avevano indirizzato più di 50.000 clic verso tali domini dannosi. Un “clic” significa che qualcuno ha copiato il comando del terminale dannoso, ma non significa che il malware sia stato installato con successo; il numero effettivo di infezioni potrebbe essere inferiore.
Nel febbraio 2026, gli sviluppatori hanno aggiunto un nuovo metodo di attacco, consentendone l’esecuzione silenziosa in background, aggirando gli strumenti di sicurezza macOS autorizzati come Gatekeeper e XProtect. Il registro può letteralmente patchare la chiave principale di 24 parole del tuo portafoglio crittografico.
L’azienda ha riferito che cluster di infezioni erano attivi nei mercati chiave, tra cui il Nord e il Sud America e parti dell’India, per settimane prima della pubblicazione del documento (probabilmente dall’inizio alla fine di marzo).
Inoltre, l’idea che “i Mac siano sicuri” non è vera, almeno per ora. Man mano che le piattaforme di intelligenza artificiale crescono in popolarità e, cosa ancora più importante, guadagnano la fiducia di milioni di utenti, i malintenzionati stanno trovando nuovi modi per utilizzare gli strumenti incentrati sulla mente a proprio vantaggio. Per ora, ti consiglio di non incollare comandi basati su testo nel terminale del tuo Mac.
Link alla fonte: www.digitaltrends.com