Cambiano le tecnologie, cambiano le modalità, ma un inganno ben orchestrato rimane sempre una delle migliori risorse a disposizione dei truffatori. Qualche ora fa è emerso come un gruppo di cyber-delinquenti abbia realizzato un blog di sicurezza fasullo molto credibile, sfruttando grafica e nomi dell’arcinota società legittima Symantec (quella del Norton Antivirus, per capirci), e l’abbia usato per diffondere il famigerato malware per macOS Proton.
Il finto sito offre il download gratuito del malware mascherato da “Symantec Malware Detector”: una volta installato, Proton può rubare una gran mole di dati privati, incluse le credenziali di accesso al Mac e perfino quelle immagazzinate in password manager. Proton richiede un’autorizzazione per eseguire un check del sistema, inducendo l’utente a inserire la propria password di amministratore. A questo punto il sistema è compromesso.
L’attacco è – volendo – piuttosto semplice, ma l’esecuzione è credibile e qualcuno ci è cascato. Ci sono addirittura account Twitter e Facebook legittimi che hanno condiviso contenuti prodotti dal finto blog: certo, è possibile che qualcuno di questi account sia stato hackerato, ma nel mucchio ci sarà anche qualcuno in buona fede.
Sono stati i ricercatori di MalwareBytes a scoprire l’attacco, e hanno detto di aver già provveduto ad avvisare Apple, che ha già revocato il certificato di installazione. Ciò ne impedirà l’ulteriore diffusione, ma non risolverà i problemi se un dispositivo è già infettato. Per questi casi, MalwareBytes osserva che il suo software è in grado di rimuovere il software malevolo in modo efficace, ma dato che il suo obiettivo è rubare password è molto consigliabile procedere a cambiarle tutte.