Lunedi 06 Luglio 2026 01:53:40 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware e botnet

Gli utenti Mac vengono ingannati nell'aprire la botola

Pubblicato: 11 Giugno 2026 14:30Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

I programmi di installazione DMG armati stanno trasformando un normale flusso software di macOS in un percorso rapido di furto di credenziali, con infostealer costruiti per sottrarre sessioni del browser e dati dei wallet prima che i difensori se ne accorgano.

L'immagine disco di macOS è da tempo uno spettacolo familiare: apri il DMG, esegui il mount, avvia l'app, vai avanti. Proprio questo flusso di lavoro ordinario la rende attraente per gli attaccanti. Un gruppo crescente di campagne macOS sta usando DMG convincenti come punto di ingresso per malware infostealer, scommettendo che la fiducia nel formato porterà il payload fino all'ultimo miglio dell'esecuzione da parte dell'utente.

Fatti rapidi

  • Le immagini disco DMG vengono usate come involucro di distribuzione per gli infostealer macOS.
  • Gli attaccanti si affidano a installer brandizzati e all'ingegneria sociale per indurre gli utenti ad aprire il payload.
  • Il malware è descritto come mirato a credenziali, cookie, token di autenticazione e wallet di criptovalute.
  • Alcune campagne potrebbero tentare di eludere i controlli di fiducia di macOS, inclusi i controlli di Gatekeeper.
  • Il profilo comportamentale è compatibile con un modello di furto rapido, con persistenza assente o minima.

Perché il formato è importante

Un DMG non è maligno di per sé. È semplicemente un'immagine disco, ed è per questo che funziona così bene come mimetizzazione. Su macOS, gli utenti spesso considerano un DMG montato il luogo previsto in cui trovare un installer, e questa assunzione può essere sufficiente ad avviare la catena di infezione. L'attaccante non ha bisogno di violare il sistema operativo se la vittima viene persuasa a eseguire l'app sbagliata all'interno di un pacchetto credibile.

Il punto di attrito difensivo è Gatekeeper, il controllo di fiducia Apple al primo avvio per il software scaricato. In generale, questo controllo cerca sviluppatori identificati, notarizzazione e segni di manomissione. Le campagne che distribuiscono malware tramite DMG possono tentare di superare quel checkpoint sfruttando il comportamento dell'utente o altre debolezze dei controlli di fiducia, ma il metodo esatto di bypass in questo caso non è confermato. Questa incertezza conta: il rischio non è solo un tipo di file, ma un flusso di lavoro costruito attorno all'approvazione dell'utente.

Una volta eseguito il payload, il valore tecnico sta nella velocità. Gli infostealer per Mac puntano spesso a cookie del browser, password salvate e materiale del Portachiavi perché questi segreti possono sbloccare account senza una lunga fase di cracking delle password. I cookie di sessione sono particolarmente preziosi perché possono rappresentare uno stato del browser già autenticato. Se gli attaccanti li ottengono, possono riutilizzare l'accesso in modi molto più immediati rispetto al furto di password tradizionale. I dati dei wallet di criptovalute sono un altro bersaglio di alto valore perché possono trasformare un singolo compromesso endpoint in una perdita finanziaria diretta.

Al momento della scrittura, restano poco chiari l'ambito completo delle campagne, la tecnica esatta di bypass e se ogni campione si comporti allo stesso modo. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva che tutti i malware distribuiti tramite DMG seguano un unico copione.

Cosa dovrebbero monitorare i difensori

Su macOS, i segnali più utili sono spesso comportamentali piuttosto che basati solo sulle firme. I team di sicurezza dovrebbero monitorare esecuzioni sospette al primo avvio da immagini montate, manipolazioni insolite dei metadati di quarantena e un rapido accesso alle posizioni del browser o del Portachiavi dopo che un utente apre un nuovo installer. Dal lato utente, l'abitudine più sicura resta la più antica: verificare il publisher, verificare il percorso di download e trattare come ostile un installer arrivato a sorpresa finché non si dimostra il contrario.

Conclusione

La lezione non è che i DMG siano pericolosi in sé. È che gli attaccanti continuano ad armare decisioni di fiducia quotidiane, soprattutto su piattaforme in cui gli utenti si aspettano che il sistema operativo renda più semplice il percorso. Su macOS, la vera prima linea è il momento in cui una persona decide che un file sembra abbastanza familiare da essere aperto. È lì che i moderni infostealer cercano di vincere.

TECHCROOK

chiave di sicurezza hardware: Una chiave di sicurezza hardware aggiunge un secondo fattore fisico per gli account supportati, rendendo più difficile il riutilizzo di password rubate o sessioni del browser. È una scelta pratica per email, gestori di password e account finanziari che supportano l'accesso FIDO2/WebAuthn.

Scheda Techcrook: chiave di sicurezza hardware

WIKICROOK

  • DMG: Un formato di immagine disco di macOS comunemente usato per distribuire installer software.
  • Gatekeeper: Il controllo Apple che verifica la fiducia e lo stato di manomissione delle app scaricate al primo avvio.
  • Infostealer: Malware costruito per raccogliere credenziali, cookie, token e altri dati sensibili.
  • Attributo di quarantena: Un flag di metadati di macOS che aiuta a generare avvisi di sicurezza per i file scaricati.
  • Persistenza: Una caratteristica del malware che mantiene il codice malevolo in esecuzione dopo il riavvio o il logout.