Il payload Atomic macOS Stealer, noto anche come AMOS, è stato scoperto lo scorso mese di aprile.
Così come tanti agenti malevoli, però, questo è stato sottoposto a un attento sviluppo da parte dei cybercriminali che lo hanno realizzato. Di fatto, oggi è ancora più pericoloso per gli utenti Mac.
Si parla di un nuovo vettore di attacco che, nello specifico, è costituito da alcuni annunci su Google apparentemente legittimi. Atomic Stealer viene venduto tramite canali Telegram per 1.000 dollari al mese e, una volta attivo su un sistema macOS, raccoglie password e altri dati sensibili.
A scoprire il nuovo metodo di diffusione sono stati i ricercatori di Malwarebytes e sfruttano le ricerche di molti utenti su Google rispetto a determinati software.
Una volta che l’ignara vittima clicca sul risultato della ricerca, questa viene direzionata verso un sito apparentemente legittimo, capace di trarre in inganno anche l’utente più esperto. Da qui, come è facile intuire, la vittima viene spinta ad effettuare il download del malware.
Atomic Stealer non ha bisogno di passare attraverso il normale processo di installazione tramite Gatekeeper poiché è un’app firmata ad hoc. Gli utenti vengono indirizzati a fare clic con il pulsante destro del mouse e ad aprire il software dal file .dmg.
Dopo l’apertura del file, continua a comparire una richiesta falsa per la password di sistema. Una volta ottenuto l’accesso Atomic Stealer raccoglie tutti i dati che può dalle parole d’accesso, al file system fino ai wallet di criptovalute, inviando la refurtiva al gestore del malware.
Come evitare Atomic Stealer?
Come abbiamo potuto notare Google non è uno strumento infallibile e molti annunci malevoli riescono a passare i filtri della piattaforma di advertisement.
La regola di sicurezza numero uno di Internet è prestare attenzione all’URL: eventuali imprecisioni, errori d’ortografia o simili possono rivelare che un sito apparentemente verosimile non è quello che sembra essere.
Gli utenti devono prestare attenzione ogni volta che scelgono di scaricare software dal Web. L’App Store è il percorso più sicuro per gli utenti Mac, ma non sarà sempre un’opzione percorribile.
Un’altra pratica utile potrebbe essere quella di attenzione ai risultati di Google e all’URL specifico verso cui si viene indirizzati. La maggior parte dei software non dovrebbe chiedere all’utente di bypassare Gatekeeper: se ciò avviene, dovrebbe suonare come un campanello d’allarme.
Inoltre, diffidare delle richieste immotivate della password di sistema, soprattutto subito dopo l’installazione di un nuovo software.