MacOS sotto attacco, come difendersi dall’infostealer AMOS
Scoperta una nuova minaccia informatica per macOS, si tratta dell’infostealer AMOS in grado di esaminare il PC dell’utente e rubare credenziali e dati sensibili
In Sintesi
- Gli esperti di Kaspersky hanno scoperto una nuova minaccia informatica che colpisce gli utenti macOS tramite la condivisione delle conversazioni con ChatGPT.
- L’infostealer AMOS è altamente pericoloso e mira a rubare una vasta gamma di dati sensibili tra cui: credenziali e cookie dai browser, portafogli di criptovalute e altre informazioni personali.
Kaspersky ha segnalato una nuova minaccia informatica che colpisce gli utenti macOS. Al centro della campagna malevola c’è ChatGPT con la funzionalità per la condivisione delle conversazioni. Gli hacker, infatti, sfruttano questo elemento, percepito come sicuro e legittimo, per indurre le vittime a installare un malware particolarmente pericoloso, l’infostealer AMOS, noto anche come Atomic macOS Stealer, affiancato da una backdoor persistente.
Questa truffa viene costruita con una grande attenzione ai meccanismi di ingegneria sociale, dimostrando nuovamente come l’intelligenza artificiale sia diventata non solo uno strumento di produttività, ma anche un’arma nelle mani dei malintenzionati digitali.
Come funziona l’infostealer AMOS
L’attacco parte da una strategia di social engineering ben orchestrata con gli aggressori che acquistano annunci sponsorizzati su Google, intercettando ricerche mirate come "chatgpt atlas". Gli utenti che cliccano su uno di questi risultati a pagamento vengono reindirizzati verso una pagina che si presenta come una guida per installare un presunto software chiamato "ChatGPT Atlas per macOS".
La pagina è una conversazione di ChatGPT condivisa pubblicamente, creata tramite tecniche di prompt engineering e poi "ripulita" per mostrare esclusivamente istruzioni di installazione chiare e apparentemente professionali. La combinazione di un dominio affidabile e contenuto ben confezionato spinge le persone ad abbassare la guardia e proseguire con l’installazione.
Il passaggio decisivo della truffa arriva quando la guida invita a copiare e incollare una singola riga di codice nel Terminale di macOS, chiedendo all’utente di concedere le autorizzazioni richieste. Fatto questo si avvia il download e l’esecuzione di uno script ospitato sul dominio esterno atlas-extension[.]com che porta all’infezione del dispositivo.
AMOS è progettato per raccogliere una quantità significativa di informazioni sensibili, facilmente monetizzabili o riutilizzabili in attacchi successivi. Il malware prende di mira le credenziali salvate nei principali browser, inclusi password, cookie e altri dati di sessione.
Particolare attenzione viene riservata anche ai portafogli di criptovalute e software molto diffusi come Telegram Desktop e OpenVPN Connect, che possono contenere informazioni preziose per ulteriori compromissioni.
L’attività di spionaggio non si ferma qui: AMOS esamina nel dettaglio anche cartelle Desktop, Documenti e Download alla ricerca di file con estensioni comuni come TXT, PDF e DOCX, arrivando addirittura ad accedere ai contenuti salvati nell’app Note di macOS. Tutti i dati raccolti vengono poi trasferiti verso server controllati dagli attaccanti.
A rendere lo scenario ancora più critico è l’installazione di una backdoor che viene configurata per avviarsi automaticamente a ogni riavvio del sistema, garantendo all’aggressore un accesso remoto continuativo al dispositivo compromesso.
Come difendersi da questo attacco
Per ridurre il rischio, Kaspersky raccomanda di mantenere un approccio estremamente prudente di fronte a richieste che invitano a eseguire comandi nel Terminale o in PowerShell. Il copia-incolla di script provenienti da siti web, documenti o chat apparentemente affidabili, infatti, dovrebbe rappresentare sempre un campanello d’allarme per gli utenti, che dovrebbero assolutamente declinare l’offerta.
