Una nuova minaccia rivolta agli utenti Mac che usano criptovalute punta non tanto a forzare il sistema quanto a convincere la vittima a concedere da sola i permessi più delicati, trasformando una normale richiesta in una porta aperta verso dati, wallet e credenziali private.
Si chiama notnullOSX ed è un malware pensato per colpire sistemi Apple con un approccio molto diverso da quello delle minacce più banali. Non prova a imporsi in modo rumoroso, non si presenta come un attacco evidente e non punta su un’infezione casuale. Al contrario, sembra muoversi in modo più selettivo, con un’attenzione particolare verso utenti che custodiscono criptovalute e che potrebbero rappresentare un bersaglio economicamente interessante.
Il punto più delicato è il metodo. L’attacco non inizia da un’app sospetta che salta subito all’occhio, ma da contenuti costruiti per sembrare plausibili. In alcuni casi compare un falso documento protetto che mostra un errore di crittografia e spinge l’utente a “risolvere” il problema. In altri, tutto passa da un file DMG dall’aspetto normale o da un sito che imita un software innocuo, come un’app per sfondi. L’obiettivo è sempre lo stesso: far compiere alla persona un’azione che apra la strada all’installazione del malware.
Perché questo malware è più insidioso del solito
Chi usa un Mac tende spesso a fidarsi della solidità del sistema, ed è una fiducia che in molti casi ha basi concrete. Apple ha costruito negli anni diversi livelli di protezione per impedire alle applicazioni di leggere liberamente file personali, messaggi, note o dati del browser. Il problema nasce quando è l’utente stesso, convinto da una procedura ingannevole, a concedere i permessi che normalmente il sistema cerca di proteggere.
Ed è proprio qui che notnullOSX diventa pericoloso. Il malware spinge la vittima ad aprire il Terminale e a incollare un comando sconosciuto, oppure a concedere il Full Disk Access durante una procedura che appare legittima. Una volta ottenuto questo accesso, il software può leggere dati molto sensibili senza dover chiedere altro. In pratica, aggira la protezione non sfondando la porta, ma convincendo chi è davanti allo schermo ad aprirla.
Non ruba soltanto dati: può restare attivo nel tempo
Un altro elemento che rende questa minaccia più seria è la sua persistenza. Non si comporta come quei malware che rubano qualcosa e spariscono subito dopo. Può invece restare attivo, mantenere una connessione con un server remoto e ricevere nuovi comandi. Questo lo avvicina più a una porta di accesso stabile che a un semplice stealer di passaggio.
Secondo quanto emerso, il malware può anche scaricare moduli aggiuntivi. Uno dei più preoccupanti è quello pensato per sostituire software wallet legittimi con versioni false, costruite per intercettare password e credenziali. Per chi gestisce asset digitali dal proprio Mac, questo passaggio è particolarmente delicato, perché sposta il rischio dal solo sistema al cuore stesso della gestione del wallet.
Cosa conviene fare subito su Mac
Per un utente Apple il primo vero livello di difesa resta il buon senso operativo. Non bisogna mai incollare comandi sconosciuti nel Terminale, soprattutto se arrivano da una pagina web, da un documento o da una procedura che invita a “sistemare” un errore improvviso. Allo stesso modo, qualunque app che chieda il Full Disk Access durante l’installazione dovrebbe essere trattata con estrema cautela.
Chi usa il Mac anche per gestire crypto, account sensibili o dati personali farebbe bene a controllare con più attenzione i permessi concessi alle app, scaricare software solo da fonti affidabili e diffidare di siti troppo convincenti che spingono a fare in fretta. Perché in casi come questo la trappola non sta tanto nella complessità tecnica dell’attacco, ma nella sua capacità di sembrare normale proprio quando non lo è affatto.
