Netcrook Logo
👤 CRYSTALPROXY
🗓️ 14 Feb 2026   🌍 North America

Artefatti AI, annunci e Apple: lo schema di malware per Mac nascosto in piena vista

Una campagna astuta sfrutta piattaforme affidabili e Google Ads per infettare gli utenti macOS con un pericoloso ladro di informazioni.

Immagina di cercare uno strumento di sicurezza o un analizzatore dello spazio su disco per il tuo Mac, cliccare su un annuncio in cima su Google e ritrovarti con un sofisticato malware che, in silenzio, sottrae i tuoi dati più sensibili. Non è un rischio teorico: è una campagna reale che ha già intrappolato migliaia di utenti macOS, usando una combinazione di AI, ingegneria sociale e una facciata di legittimità con effetti devastanti.

Questa campagna, scoperta dai ricercatori di Moonlock Lab, evidenzia una preoccupante evoluzione delle minacce su macOS. Gli attaccanti stanno ora sfruttando piattaforme rispettabili e posizionamenti a pagamento nei risultati di ricerca per distribuire il ladro di informazioni MacSync - un ceppo di malware progettato per sottrarre di tutto, dai dati del browser ai wallet di criptovalute.

L’operazione si sviluppa in due varianti principali. La prima prende di mira gli utenti che cercano “Online dns resolver”, mostrando un annuncio sponsorizzato su Google che conduce a un artefatto pubblico di Claude AI camuffato da guida alla sicurezza. L’artefatto istruisce gli utenti a inserire un comando codificato in base64 nel Terminale del Mac. Una volta eseguito, il comando scarica un loader malevolo da /tmp/osalogging.zip e avvia il ladro MacSync.

MacSync stabilisce immediatamente un contatto con il suo server di comando e controllo all’indirizzo a2abotnet[.]com, autenticandosi con credenziali hardcoded e imitando traffico macOS legittimo per evitare il rilevamento. I dati sensibili vengono compressi in un file zip e caricati tramite richieste HTTP POST, con un meccanismo di upload a blocchi che garantisce che anche grandi cache di informazioni rubate arrivino agli attaccanti - riprovando fino a otto volte se necessario. Dopo l’esfiltrazione, il malware ripulisce le proprie tracce, eliminando i file temporanei per ostacolare l’analisi forense.

La seconda variante è ancora più insidiosa. Gli utenti che cercano un “macos cli disk space analyzer” potrebbero imbattersi in un post su Medium all’indirizzo apple-mac-disk-space.medium[.]com, che pretende di provenire dal team di supporto di Apple. Questo articolo fornisce un comando analogamente offuscato - usando trucchi come spezzare la parola “curl” per superare filtri di sicurezza di base - che recupera il malware da raxelpak[.]com.

Ciò che rende questa campagna particolarmente pericolosa è lo sfruttamento della fiducia. Abusando di piattaforme come Claude AI, Medium e Google Ads, gli attaccanti rivestono le loro operazioni di legittimità, aumentando drasticamente le probabilità che anche utenti esperti vengano ingannati. La sofisticazione tecnica - combinata con l’ingegneria sociale - segnala una tendenza inquietante: i cybercriminali sono ormai maestri nel trasformare gli angoli più rispettabili del web in veicoli di consegna per malware su macOS.

La lezione per gli utenti è netta. Anche le fonti che sembrano più affidabili possono nascondere minacce sofisticate. Man mano che gli attaccanti continuano a sfumare il confine tra contenuti legittimi e intenti malevoli, vigilanza e scetticismo sono la migliore difesa - perché la prossima guida “utile” o il prossimo link sponsorizzato potrebbe essere la chiave della tua rovina digitale.

WIKICROOK

  • Base64: Base64 codifica dati binari in testo ASCII, consentendo la trasmissione sicura di file o immagini tramite applicazioni web e sistemi di posta elettronica.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Ingegneria sociale: L’ingegneria sociale è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • Upload a blocchi: L’upload a blocchi divide file di grandi dimensioni in parti più piccole per un trasferimento sequenziale, migliorando l’affidabilità e aggirando limiti di dimensione o di tempo durante i caricamenti.
  • Offuscamento: L’offuscamento è la pratica di mascherare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
macOS malware Google Ads social engineering
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news