LastPass nel mirino: campagne fraudolente diffondono Atomic Stealer su Mac

Nuova allerta per gli utenti Mac: un gruppo di criminali informatici sta sfruttando annunci pubblicitari contraffatti sui motori di ricerca per diffondere il famigerato Atomic Stealer (o Amos Stealer), un malware specializzato nel furto di informazioni sensibili e credenziali di accesso ad account. L’ultima vittima presa di mira è il popolare gestore di password LastPass.

Alla fine della scorsa settimana, LastPass ha comunicato di aver individuato una vasta campagna che utilizza tecniche di search engine optimization (SEO) per mostrare annunci fraudolenti collocati in cima ai risultati di ricerca su piattaforme come Google e Bing. Questi annunci rimandavano a due pagine GitHub (ora rimosse) create appositamente per impersonare LastPass e da cui era possibile scaricare una falsa app LastPass per macOS, che in realtà installava il malware.

“Abbiamo pubblicato questo post per aumentare la consapevolezza sulla campagna, proteggere i nostri clienti mentre proseguiamo con le attività di contrasto e rimozione, e condividere gli indicatori di compromissione per aiutare altri team di sicurezza a rilevare le minacce informatiche”, ha dichiarato LastPass nel comunicato ufficiale.

Quanto accaduto però non ha coinvolto solamente LastPass, in quanto un'attenta analisi degli indicatori di compromissione mostra che la mano dietro alla campagna ha sfruttato il nome di altri strumenti e servizi molto noti, tra cui 1Password, Basecamp, Dropbox, Gemini, Hootsuite, Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird e TweetDeck. Con lo stesso schema, gli annunci pubblicitari mostravano il nome delle applicazioni in maniera molto visibile, convincendo gli utenti a cliccare su link che conducevano a pagine GitHub contenenti le versioni mascherate di Atomic Stealer.

Spesso il malware veniva proposto come file in formato .dmg, tipico di macOS. Inizialmente il sistema di protezione Gatekeeper riusciva a bloccare l’installazione, ma i criminali informatici hanno adottato uno stratagemma per riuscire ad aggirare i sistemi di sicurezza di macOS, sfruttando una falsa schermata CAPTCHA, con cui veniva chiesto all’utente di copiare e incollare una stringa di testo nel terminale del Mac. In realtà, il comando avviava il download e l’installazione del file dannoso, aggirando completamente i controlli di Apple. Secondo i ricercatori di sicurezza,  si tratta di una tecnica nota negli ambienti hacker da oltre venti mesi.

Nonostante diverse segnalazioni e campagne di sensibilizzazione, Atomic Stealer continua a diffondersi e ad essere utilizzato con successo. Di recente è stato osservato anche contro gli utenti di Homebrew, strumento molto diffuso tra gli sviluppatori di applicazioni compatibili con macOS. Ciò dimostra come il malware resti non solo efficace, ma anche attivamente mantenuto e costantemente adattato per sfuggire ai sistemi di difesa.

Come sempre il suggerimento per prevenire compromissioni di questo tipo è quello di scaricare i software esclusivamente dai siti ufficiali e di non affidarsi mai ai link contenuti in annunci pubblicitari, anche se appaiono nei primi risultati di Google o Bing. Nel caso si voglia installare un’app vista in un annuncio, è preferibile digitare manualmente l’indirizzo del sito nel browser ed effettuare il download direttamente dalla fonte originale.