Una nuova tattica di inganno mira gli utenti Mac nel settore delle criptovalute, sfruttando collegamenti nei calendari per diffondere malware.
L’intreccio tra tecnologia e ingegnosità umana non conosce confini, tanto meno quando si parla di attacchi informatici. Recentemente, è stata scoperta un’insidia digitale che vede come bersaglio gli utilizzatori di Mac all’interno dell’appassionante mondo delle criptovalute, dove stratagemmi fraudolenti mirano alla compromissione dei sistemi tramite l’uso di calendari digitali per diffondere software malevoli.
Il metodo utilizzato dagli aggressori consiste in una manipolazione affascinante quanto pericolosa: l’impersonificazione di investitori affermati nel campo delle criptovalute. I malintenzionati propongono agli incauti utenti di fissare una videoconferenza tramite la celebre piattaforma di pianificazione Calendly, diffusivamente utilizzata per appuntamenti e riunioni. Il collegamento fornito, però, si trasforma in una trappola che, una volta attivata, procede con l’installazione silenziosa di un malware sui sistemi macOS.
È il caso di “Doug” – nome di comodo per preservare l’anonimato del protagonista di questa vicenda – il quale, operando in una startup alla ricerca di investimenti per una nuova piattaforma blockchain, si è ritrovato vittima di questo astuto stratagemma. Connesso al margine del mondo delle criptovalute, Doug è stato contattato attraverso il famoso servizio di messaggistica Telegram da un individuo mascherato da affermato investitore di una rinomata società di Singapore, la Signum Capital.
Il sedicente investitore ha espresso interesse nel progetto di Doug, proponendo un incontro virtuale per discutere i potenziali investimenti. L’inganno si è concretizzato quando, invece di condurre a una piattaforma per le videochiamate, il link ha reindirizzato Doug verso un messaggio ingannevole che suggeriva di utilizzare uno script quale soluzione temporanea ai problemi tecnici del servizio di videoconferenza.
Purtroppo per Doug, l’esecuzione dello script ha significato l’installazione di un trojan per macOS, del quale, a causa delle immediate precauzioni adottate, come il cambio delle password e la reinstallazione del sistema operativo, non è rimasta traccia da analizzare.
Ulteriori indagini hanno portato alla luce dettagli preoccupanti: l’autore di questo tentativo di frode era collegato a gruppi di hacker nordcoreani, già individuati per pratiche analoghe. La società di sicurezza SlowMist ha rilevato come queste trappole fossero orchestrate utilizzando la funzione “Aggiungi Link Personalizzato” di Calendly per inserire collegamenti malevoli, approfittando della fiducia generata dall’uso quotidiano di tale sistema in ambito professionale.
Particolarmente interessante è il collegamento di questi malware con il gruppo conosciuto come “BlueNoroff“, una sottosezione del gruppo di hacker Lazarus, specializzati in attacchi a istituti finanziari, aziende di criptovalute e casinò, secondo quanto riportato da Kaspersky Labs.
Per gli utenti Mac, la minaccia è significativa. Nonostante i dispositivi siano protetti dal sistema antivirus integrato X-Protect di Apple, gli esperti sottolineano come gli aggressori digitali modifichino costantemente le caratteristiche del proprio malware per eludere tali difese. Società come SentinelOne hanno rilevato come, nonostante gli aggiornamenti costanti del database di firme di XProtect, diversi malware sono riusciti a passare inosservati ai controlli, soprattutto nei primi mesi del 2024.
Un punto cruciale da non sottovalutare è la verifica dell’autenticità delle nuove connessioni, specialmente quando si hanno a che fare con sconosciuti. Nel caso di Doug, un elemento di conferma sulla legittimità dell’investitore avrebbe potuto risparmiargli l’intera disavventura.
È fondamentale anche mantenere un approccio critico all’installazione di software: privilegiare fonti originali e attendibili, e non installare nulla che non sia stato attivamente ricercato. Questa regola, insieme alla prevenzione da link sospetti, costituisce un efficace baluardo contro gli attacchi informatici, indipendentemente dal sistema operativo utilizzato.