Una nuova campagna malware rivolta agli utenti macOS sta sfruttando false notifiche di sicurezza Apple per distribuire software malevolo progettato per sottrarre dati personali e credenziali archiviate nel sistema.
La minaccia utilizza una variante di infostealer che punta a simulare processi legittimi del sistema operativo, inducendo l’utente ad autorizzare l’esecuzione di script dannosi.
Il meccanismo risulta particolarmente efficace perché sfrutta interfacce molto simili a quelle native di macOS e processi che appaiono coerenti con i normali aggiornamenti del sistema.
Come funziona il falso aggiornamento su Mac
Le precedenti campagne malware rivolte a macOS richiedevano spesso all’utente di copiare ed eseguire manualmente comandi nel Terminale. Le varianti più recenti utilizzano invece AppleScript e schemi di esecuzione automatizzati che aprono componenti di sistema apparentemente affidabili.
Come ti truffano con l’aggiornamento Apple – Melablog.it
Il processo utilizza pagine web fraudolente costruite per simulare siti legittimi. In alcuni casi vengono imitati servizi e software molto conosciuti con l’obiettivo di indurre il download di file apparentemente innocui.
Quando l’utente avvia l’operazione, compare una falsa finestra di aggiornamento Apple che richiama elementi grafici familiari del sistema operativo.
L’aggiornamento non installa alcuna patch di sicurezza. Lo scopo reale consiste nell’eseguire codice remoto in grado di scaricare ulteriori componenti malevoli.
Quali dati vengono presi di mira
Una volta avviato il malware, il software tenta di accedere a numerose categorie di dati locali, tra cui:
password memorizzate nei browser
dati del Portachiavi di macOS
cookie di autenticazione
documenti salvati sul desktop
sessioni Telegram
wallet di criptovalute
configurazioni di sviluppo
dati iCloud
I browser interessati possono includere:
Chrome
Firefox
Brave
Edge
Opera
Arc
Vivaldi
Orion
Vengono inoltre cercate informazioni associate a estensioni dedicate alle criptovalute e gestori di password.
Come riconoscere un aggiornamento falso
Gli aggiornamenti autentici di macOS vengono normalmente distribuiti tramite:
Impostazioni di Sistema
Aggiornamento Software
oppure attraverso canali ufficiali Apple.
Una richiesta improvvisa visualizzata nel browser che invita ad aggiornare direttamente macOS rappresenta un elemento che merita attenzione.
Anche alcuni dettagli tecnici possono generare sospetti:
richieste di password amministratore fuori dal normale flusso di aggiornamento
download avviati da siti sconosciuti
indirizzi web molto simili a domini reali
finestre che compaiono durante la navigazione
Perché il problema resta efficace
Questo tipo di attacco non sfrutta principalmente vulnerabilità tecniche del sistema operativo ma meccanismi di social engineering.
L’obiettivo consiste nel riprodurre schermate familiari e processi che l’utente considera normali. L’interazione dell’utilizzatore diventa quindi parte stessa della catena d’attacco.
La sicurezza di macOS continua a integrare strumenti di protezione come Gatekeeper e XProtect, ma una finestra apparentemente legittima che ottiene autorizzazioni manuali può ridurre l’efficacia di molte difese automatiche integrate nel sistema.
