Il nuovo malware MacSync aggira Gatekeeper di macOS per rubare criptovalute

Una nuova variante del malware MacSync sta prendendo di mira attivamente gli utenti macOS. I ricercatori di sicurezza avvertono che è in grado di aggirare le protezioni integrate di Apple. Può sottrarre dati sensibili, inclusi i wallet di criptovalute. L’allerta arriva da SlowMist, dopo che il suo chief information security officer ha segnalato che alcuni utenti hanno già subito perdite di asset. Il malware segna un salto nella sofisticazione delle minacce su macOS. A differenza delle versioni precedenti, questa variante elude il rilevamento pur apparendo legittima al sistema operativo.

Come il malware elude la sicurezza di macOS

La nuova variante di MacSync può bypassare Gatekeeper di macOS, il sistema progettato per bloccare le applicazioni non affidabili. Secondo i ricercatori, il malware utilizza diverse tecniche stratificate per evitare il rilevamento. Tra queste, l’aumento artificiale dei file per mascherare il codice malevolo, verifiche di rete per confermare l’ambiente di esecuzione e script di autodistruzione che rimuovono le tracce dopo l’esecuzione.

Di conseguenza, il malware spesso lascia poche evidenze sul disco. Una volta eseguito, prende di mira dati altamente sensibili. Tra questi, i portachiavi iCloud, le password memorizzate nei browser e i file dei wallet di criptovalute. In molti casi, gli attaccanti ottengono accesso completo prima che gli utenti si rendano conto che qualcosa non va.

Il passaggio a malware firmato aumenta il rischio

Un’analisi aggiuntiva di Jamf Threat Labs mostra che il malware si è evoluto anche nel metodo di distribuzione. Le versioni precedenti di MacSync facevano leva su tecniche di ingegneria sociale, come comandi drag-and-drop nel terminale o l’esecuzione manuale di script. La nuova variante, invece, arriva come applicazione Swift firmata e notarizzata. Viene distribuita all’interno di file immagine disco che appaiono come installer legittimi. Questo le consente di superare i controlli iniziali di macOS senza attivare avvisi.

Dopo l’avvio, l’applicazione scarica ed esegue in modo silenzioso un payload di seconda fase. Gran parte di questa attività avviene in memoria, riducendo le probabilità di rilevamento da parte degli antivirus tradizionali. I ricercatori affermano che ciò riflette una tendenza più ampia. Un numero crescente di malware per macOS utilizza eseguibili firmati e notarizzati per apparire affidabile e ritardarne l’individuazione.

I wallet crypto restano un obiettivo primario

L’attenzione del malware sui wallet crypto evidenzia i rischi crescenti per i detentori di asset digitali. Una volta che gli attaccanti estraggono chiavi private o dati di recupero, i fondi sottratti sono generalmente irrecuperabili. Le segnalazioni indicano che alcuni utenti colpiti hanno perso criptovalute poco dopo l’infezione. Non sono emersi segnali di transazioni forzate o attacchi agli exchange. Gli attaccanti hanno invece avuto accesso diretto ai wallet dai dispositivi compromessi. Gli esperti di sicurezza avvertono che gli utenti crypto sono particolarmente vulnerabili. Molti conservano wallet, estensioni del browser e credenziali su laptop personali senza ulteriori misure di protezione.

Cosa dovrebbero fare ora gli utenti

SlowMist ha invitato gli utenti macOS a evitare il download di software o plugin da fonti sconosciute. Anche installer apparentemente legittimi possono nascondere rischi. Gli esperti raccomandano inoltre di attivare strumenti avanzati di protezione dalle minacce, mantenere i sistemi aggiornati e, quando possibile, conservare gli asset crypto in hardware wallet. Gli utenti dovrebbero trattare con cautela qualsiasi installer o avviso di sicurezza inatteso. Con l’affinarsi delle tecniche degli attaccanti, macOS non è più un ambiente a basso rischio. Il caso MacSync dimostra che persino le protezioni integrate possono essere aggirate. Di conseguenza, per i detentori di criptovalute, la vigilanza resta essenziale.