Ero dell’opinione che i MacBook fossero relativamente più sicuri di altri laptop computer, ma sono stato smentito. Imbarazzante e palesemente sbagliato. Un nuovo rapporto da Sophos X-Ops non ha risparmiato alcuno sforzo per sbatterci il naso.
I ricercatori dell’azienda hanno monitorato tre distinte campagne di attacco tra novembre 2025 e febbraio 2026, tutte mirate agli utenti macOS con qualcosa chiamato infostealer MacSync. Per chi si aggiorna, è un tipo di malware che fruga silenziosamente nelle tue password e credenziali salvate, agendo come un borseggiatore digitale.
Quindi, come funziona realmente?
Il malware utilizzava un metodo di distribuzione chiamato ClickFix, che richiede uno sforzo tecnico minimo. È sufficiente che le vittime copino e incollino un comando nel terminale del proprio Mac (progettato per eseguire comandi basati su testo) e premano Invio sulla tastiera.
Innanzitutto, i malintenzionati hanno utilizzato false pagine di obtain di OpenAI, che sono state diffuse tramite annunci sponsorizzati su Google (situati proprio sopra il collegamento legittimo). Poi, sono diventati ancora più creativi: gli aggressori hanno iniziato a condividere le conversazioni condivise dietro ChatGPT mascherate da “utili information Mac”.
Queste information indirizzavano gli utenti a false pagine GitHub, che contenevano istruzioni di installazione del software program create con cura, ma in realtà chiedevano agli utenti di copiare un comando del terminale, consentendo all’infostealer ManSync di funzionare in background. Questo è tutto; questo è l’intero attacco.
Quanto è andata male?
Sophos ha scoperto che solo nel dicembre 2025, i malintenzionati avevano indirizzato più di 50.000 clic su tali domini dannosi. Un “clic” significa che qualcuno ha copiato il comando del terminale dannoso, ma non necessariamente che il malware sia stato installato con successo; il conteggio effettivo delle infezioni potrebbe essere inferiore.
Nel febbraio 2026 gli sviluppatori hanno dato una nuova svolta al loro metodo di attacco, permettendogli di funzionare silenziosamente in background, aggirando gli strumenti di sicurezza macOS competenti come Gatekeeper e XProtect. Può, in un modo molto reale, patchare la chiave grasp di 24 parole del tuo portafoglio crittografico.
L’azienda riferisce che cluster di infezioni erano attivi nei mercati chiave, comprese parti del Nord e Sud America e dell’India, solo poche settimane prima della pubblicazione dell’articolo (forse entro la nice dell’inizio di marzo).
Inoltre, l’thought che “i Mac sono sicuri” almeno per il momento non è vera. Man mano che le piattaforme di intelligenza artificiale crescono in popolarità e, cosa ancora più importante, guadagnano la fiducia di milioni di utenti, i malintenzionati stanno escogitando nuovi modi per utilizzare gli strumenti guidati dai LLM a proprio vantaggio. Per ora, ti consiglio di non incollare alcun comando basato su testo nel terminale del tuo Mac.
