Avvertono che un nuovo malware su macOS cerca di svuotare i wallet di criptovalute

By: rootdata|2026/07/09 01:22:19
0
Condividi
copy
  • Gli utenti Apple che memorizzano o gestiscono criptovalute affrontano una nuova minaccia alla sicurezza informatica. I ricercatori di Jamf Threat Labs, il team di ricerca sulla sicurezza informatica, hanno scoperto una campagna che distribuisce una versione falsa dell'applicazione open source Maccy con l'obiettivo di installare PamStealer, un malware progettato per rubare password, credenziali e chiavi dei wallet di criptovalute.

Secondo il rapporto della società, gli attaccanti utilizzano un sito web che imita quello ufficiale di Maccy, un gestore di appunti gratuito per macOS, per convincere le vittime a scaricare un'immagine disco malevola. Aprendo il file, questo mostra istruzioni per eseguirlo dall'Editor di Script di Apple, mentre mantiene nascosto il codice malevolo che avvia l'infezione.

Una volta nel sistema, il malware verifica la password di accesso dell'utente tramite i Moduli di Autenticazione Connettibili (PAM) di macOS. Successivamente, scarica un secondo payload sviluppato utilizzando strumenti nativi del sistema operativo, una tecnica che gli consente di ridurre le possibilità di essere rilevato dai programmi di sicurezza.

Il malware genera anche una chiave a partire da informazioni del dispositivo, come l'architettura del processore, la configurazione regionale, la distribuzione della tastiera e il fuso orario. Con essa sblocca una configurazione crittografata che contiene le istruzioni necessarie per continuare l'attacco.

Se l'infezione ha successo, un malware può sottrarre password memorizzate nei browser, dati del portachiavi di macOS, informazioni copiate negli appunti e credenziali relative ai wallet di criptovalute. Inoltre, stabilisce persistenza nel computer e invia i dati rubati a un server remoto tramite comunicazioni crittografate.

Come parte dell'attacco, il programma mostra anche una falsa finestra a un esploratore di file richiedendo accesso completo al disco. La particolarità è che questo avviso può apparire fino a 40 minuti dopo l'installazione, rendendo difficile per l'utente collegare la richiesta al download iniziale. Se concede il permesso, il malware ottiene accesso a informazioni protette, inclusi email, messaggi e backup di Time Machine.

La società ha spiegato che questo tipo di campagne dipende principalmente dall'ingegneria sociale. Secondo Jaron Bradley, direttore di Jamf Threat Labs, i criminali informatici acquistano annunci su piattaforme come Google Ads e X per indirizzare gli utenti verso pagine false che sembrano offrire applicazioni legittime. L'azienda ha aggiunto che recentemente ha rilevato un altro annuncio sponsorizzato su X che distribuiva una variante del malware Atomic Stealer tramite un account verificato, aumentando la credibilità dell'inganno.

Sebbene l'azienda abbia affermato di non aver ancora trovato prove che PamStealer sia attivamente utilizzato, ha già notificato Apple riguardo alle sue scoperte. Fino ad ora, la società non ha rilasciato commenti pubblici sul caso.

I ricercatori concludono che questa campagna riflette una tendenza crescente tra i criminali informatici: travestire il malware come software legittimo e sfruttare piattaforme affidabili per distribuirlo. Un rapporto della società di ricerca TRM Labs ha affermato che nel 2026 c'è stato un aumento nel numero di attacchi, con perdite totali di 972 milioni di USD, come indicato da CriptoNoticias.

Nel caso degli utenti di criptovalute, queste minacce rappresentano un rischio significativo, poiché il furto di credenziali o delle chiavi di un wallet può portare alla perdita irreversibile dei fondi digitali.

Prezzo di --

--

Potrebbe interessarti anche

iconiconiconiconiconiconicon
Assistenza clienti:@weikecs
Cooperazione aziendale:@weikecs
Trading quantitativo e MM:[email protected]
Programma VIP:[email protected]