MacSync Stealer, la campagna pubblicitaria prende di mira i Mac

Bitdefender Labs individua una campagna di malvertising che sfrutta l’infrastruttura pubblicitaria di Google per distribuire una variante di MacSync Stealer.

La campagna prende di mira gli utenti che cercano software Mac popolari, tra cui 7-Zip, Notepad++, LibreOffice e Microsoft Office. Gli annunci dannosi (oltre 200 finora) appaiono tra i primi risultati sponsorizzati. Una volta fatto clic, le vittime vengono reindirizzate a pagine condivise su Evernote che contengono un comando pericoloso Terminal.

Dopo l’esecuzione del comando codificato Terminal, il sistema della vittima viene compromesso. MacSync Stealer è un malware progettato per il furto di credenziali e risorse finanziarie, che prende di mira in modo sistematico portafogli di criptovalute, estensioni crittografiche dei browser e gestori di password.

In particolare, il malware è in grado di :

• Sottrarre file e documenti dal sistema
• Visualizzare un falso prompt di password macOS per raccogliere le credenziali
• Impossessarsi dei cookie del browser, database di autenticazione ed estensioni installate
• Acquisire dati Telegram, contenuti di macOS Notes e informazioni sui portafogli di cryptovalute

Come proteggersi:

• Non eseguire mai comandi Terminal copiati da siti web: il software legittimo viene distribuito tramite app firmate, non comandi codificati
• Evitare di cliccare sui risultati sponsorizzati per i download e accedere sempre al sito ufficiale dello sviluppatore
• Controllare i link sospetti prima di aprirli, ad esempio con strumenti come Bitdefender Link Checker
• Utilizzare soluzioni di sicurezza avanzate per rilevare script dannosi, bloccare attività sospette e prevenire tentativi di persistenza
• Verificare sempre il canale di distribuzione: pagine condivise su Evernote o simili non sono un metodo legittimo per scaricare software.