macOS e sicurezza: il report di Moonlock evidenzia un aumento del Malware as a Service

La società di sicurezza Moonlock ha pubblicato un rapporto riguardante lo stato delle minacce informatiche rivolte a macOS, evidenziando come il panorama delle minacce si sia evoluto in maniera significativa: i criminali informatici, che storicamente hanno diretto le loro attenzioni altrove per via della ridotta base utenti della piattaforma della Mela, oggi vedono macOS come un'interessante opportunità per le loro scorribande.

In particolare l'elemento di svolta nello scenario è rappresentato dalle piattaforme Malware-as-a-Aervice, come AMOS Stealer, che hanno abbassato notevolmente la barriera d'ingresso: sono sufficienti 1.500 dollari al mese per consentire anche gli hacker meno esperti di acquistare strumenti automatizzati per il furto di dati sensibili. Una cifra che potrà sembrare elevata, ma che è sicuramente poca cosa per gruppi o singoli malintenzionati ben motivati che sanno come trarre profitto dai loro bottini. 

La struttura organizzativa di un Malware-as-a-Service - Fonte: Moonlocka

Un ulteriore elemento di preoccupazione è l'utilizzo dell'intelligenza artificiale nella creazione di malware. Strumenti come ChatGPT vengono largamente impiegati dale community nel dark web per lo sviluppo di codice malevolo, con il risultato che hacker "in erba" possono avere l'opportunità di realizzare minacce sofisticate, talvolta capaci di aggirare le protezioni del Gatekeeper di macOS.

Moonlock regista inoltre una particolare predilezione per i criminali informatici verso i malware di tipo infostealer, pensati per raccogliere informazioni sensibili come password, cookie di sessione e dettagli su portafogli di criptovalute. Su questa scia la società di sicurezza sottolinea la scoperta di Chtulu Stealer nello scorso mese di agosto, MaaS dal costo di 500 dollari mensili che si diffonde mascherandosi da software legittimi per ingannare l'utente. Nello stesso mese è stata inoltre registrata la diffusione di Banshee Stealer, un sofisticato strumento da 3000 dollari al mese che raccoglie password e informazioni di sistema.

Il mese successivo è invece stato identificato HZ Remote Access Tool (HZ RAT), distribuito attraverso versioni manomesse di applicazioni popolari come OpenVPN Connect. Il malware può consentire il controllo completo da remoto dei sistemi compromessi, l'esfiltrazione di informazioni e l'installazione di ulteriore malware/ransomware. Il sistema compromesso può inoltre essere arruolato come "soldatino" all'interno di una botnet.

Gli attaccanti non si affidano solamente alla capacità di scrivere codice capace di aggirare le protezioni di Gatekeeper, ma fanno affidamento anche alle tecniche di ingegneria sociale per indurre gli utenti a disattivare le funzionalità di sicurezza di macOS. Per fare ciò vengono mostrate schermate contenenti informazioni fuorvianti ma dall'aspetto credibile, e istruzioni dettagliate che inducono l'utente a credere di installare software legittimi

La distribuzione del malware per macOS avviene tramite canali e tecniche collaudate e largamente impiegate anche su altre piattaforme: diffusione di applicazioni contraffatte che si mascherano da software legittimi, campagne di malvertising mediante falsi annunci Google, software piratati e crackati, falsi aggiornamenti di sistema ed infine il phishing, a tappeto o mirato. C'è ovviamente anche la possibilità che gli attori di minaccia sfruttino eventuali vulnerabilità di sicurezza presenti nel sistema operativo, a cui solitamente Apple risponde in maniera relativamente tempestiva con il rilascio di patch ed aggiornamenti.

In generale macOS è un sistema operativo che può contare su più elevato livello di robustezza rispetto ad altre piattaforme, mettendo a disposizione dell'utente tre livelli di difesa: XProtect, l'antivirus integrato, utilizza firme YARA per rilevare e bloccare automaticamente il malware noto, Gatekeeper verifica le firme digitali delle applicazioni impedendo l'esecuzione di software non autorizzato e infine il sistema di Notarization verifica ulteriormente che le app non contengano codice malevolo.

Ciò non significa ovviamente che sia invulnerabile alle minacce informatiche: il report di Moonlock (che in realtà manca di un confronto statistico e numerico più approfondito) rappresenta un monito a mantenere elevate le attenzioni e ad implementare le buone pratiche di sicurezza, allo scopo di ridurre il rischio di cadere vittime di spiacevoli incidenti.

Il primo livello di difesa è quello di adottare una postura preventiva: mantenere sempre aggiornato il sistema operativo e le applicazioni tramite i canali di distribuzione ufficiali, utilizzare password complesse (seguendo il principio "facili da ricordare, difficili da indovinare") e autenticazione a due fattori, creare un account utente separato per l'uso quotidiano, limitando i permessi di amministrazione, scaricare software solo da fonti attendibili come l'App Store e infine usare soluzioni VPN per la crittografia del traffico di rete.

Vale sempre il principio "trust no one", non fidarsi di nessuno, e adottare un approccio al limite della paranoia verificando scrupolosamente qualsiasi email nella quale ci viene richiesta un'azione specifica come cliccare su un link, scansionare un QR Code, fornire dati sensibili, compilare form o scaricare applicazioni e programmi. L'impiego di soluzioni per la protezione dell'endpoint (che di recente offrono anche misure contro le minacce IA) è consigliabile poiché permettono un monitoraggio costante del sistema, segnalando prontamente le eventuali attività sospette che potrebbero verificarsi lontano dall'attenzione dell'utente. Infine il mantenimento di backup regolari dei dati e delle informazioni più importanti, così da poterle recuperare velocemente in caso di incidenti di sicurezza e tornare operativi minimizzando i periodi di indisponibilità.