Lunedi 06 Luglio 2026 17:21:35 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Sfondo o furto del portafoglio? Una sofisticata campagna di malware per Mac prende di mira utenti ricchi di crypto tramite YouTube e app false

Pubblicato: 23 Aprile 2026 11:04Categoria: Security Awareness & Social EngineeringAutore: TRUSTBREAKER

Sottotitolo: Una nuova truffa elaborata sfrutta una falsa app di wallpaper per macOS e un canale YouTube dirottato per distribuire malware avanzato mirato a possessori di criptovalute di alto valore.

Tutto è iniziato con una promessa semplice: “Trasforma il tuo Mac con splendidi sfondi live.” Ma per centinaia di utenti macOS, questo restyling digitale si è trasformato in un incubo quando un sindacato criminale informatico ha scatenato notnullOSX-un ladro furtivo che prende di mira chi possiede portafogli crypto sostanziosi. Con cura, precisione e un pizzico di ingegneria sociale, questa campagna mostra fin dove sono disposti ad arrivare gli attori della minaccia per separare le vittime dalle loro fortune digitali.

Una trappola rifinita per l’élite delle crypto

Questo non è il solito malware “a pioggia”. La campagna notnullOSX è iper-selettiva, prendendo di mira solo chi possiede crypto per un valore superiore a 10.000 dollari. Gli operatori usano un pannello affiliati per esaminare manualmente le potenziali vittime, raccogliendo profili social, indirizzi dei wallet e persino lo storico della corrispondenza prima di colpire. Il risultato: un’operazione di spear-phishing con la patina di una legittima soluzione tecnica.

Come funziona l’attacco

L’infezione inizia in modo abbastanza innocuo. Le vittime vengono attirate da un video YouTube ben confezionato-ospitato su un canale riconvertito risalente al 2015, che ora vanta 50.000 visualizzazioni cresciute con sospetta rapidità-verso un sito dall’aspetto professionale per “WallSpace”, una presunta app di sfondi live per macOS. Qui l’inganno si fa più profondo.

Sono state identificate due catene di infezione. La prima imita un Google Doc rotto, offrendo una soluzione “ClickFix” che fornisce un comando Terminal codificato in base64. Una volta eseguito, questo comando scarica e installa il malware notnullOSX, aggirando abilmente le protezioni Gatekeeper di Apple e annidandosi come applicazione nascosta. Il secondo approccio distribuisce un installer DMG malevolo, abbassando le barriere tecniche guidando gli utenti in azioni da Terminale con prompt apparentemente legittimi.

Accesso completo al disco: la chiave d’oro

Forse l’aspetto più inquietante è la dipendenza della campagna dall’ingegneria sociale, non da exploit tecnici. Le vittime vengono istruite a concedere l’Accesso completo al disco, consegnando di fatto le chiavi del loro regno digitale-messaggi, note, dati del browser e portafogli crypto diventano tutti prede legittime.

Una volta dentro, notnullOSX distribuisce una serie di moduli, ciascuno focalizzato al laser su una categoria di dati: portafogli crypto, credenziali del browser, chiavi SSH e persino la capacità di sostituire app affidabili di gestione dei wallet con versioni manomesse, pronte a rubare le seed phrase e a eludere i sospetti visivi.

Sfruttando piattaforme dirottate, design professionale e un targeting manuale profondo, gli attori della minaccia dietro notnullOSX hanno sfumato il confine tra truffa e software, alzando la posta in gioco sia per la sicurezza macOS sia per la privacy nel mondo crypto.

Conclusione

Man mano che i cybercriminali affinano le loro tattiche e si concentrano su bersagli di alto valore, persino qualcosa di innocuo come un’app di wallpaper può diventare un varco verso perdite catastrofiche. La campagna notnullOSX è un monito netto: nel mondo delle crypto, fiducia-e vigilanza-sono gli asset più preziosi in assoluto.

TECHCROOK

Bitdefender Antivirus for Mac è una soluzione di sicurezza pensata per contrastare campagne come quella descritta, dove app fasulle e ingegneria sociale portano l’utente a installare stealer e a concedere permessi critici come l’Accesso completo al disco. Integra protezione in tempo reale contro malware e adware, analisi comportamentale e scansioni on-demand per individuare componenti nascosti, installer DMG sospetti e persistenze tipiche (es. elementi di avvio). Include inoltre funzioni anti-phishing per ridurre il rischio di finire su siti clone e download malevoli veicolati da video o pagine “professionali”. È indicato per chi gestisce wallet crypto su macOS e vuole un livello aggiuntivo di difesa oltre a Gatekeeper. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Antivirus for Mac è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Stealer: Uno stealer è un malware che raccoglie di nascosto dati sensibili come password, cookie o portafogli digitali dal dispositivo della vittima e li invia ai cybercriminali.
  • Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Accesso completo al disco (FDA): L’Accesso completo al disco è un’impostazione di macOS che consente alle app di leggere tutti i file, inclusi i dati sensibili. Solo alle app affidabili dovrebbe essere concessa questa autorizzazione.
  • Gatekeeper: Gatekeeper è una funzione di sicurezza di macOS che verifica l’autenticità delle app scaricate e blocca l’esecuzione di software potenzialmente dannoso sul Mac.
  • LaunchAgent: Un LaunchAgent è un file di macOS che consente ai programmi di avviarsi automaticamente al login dell’utente, spesso usato sia da app legittime sia da malware per la persistenza.