Kaspersky Threat Research ha individuato una nuova campagna malware che prende di mira gli utenti macOS, combinando annunci sponsorizzati su Google e l’abuso di una funzione legittima di ChatGPT. L’operazione conduce all’installazione dell’infostealer AMOS (Atomic macOS Stealer) e di una backdoor persistente, con l’obiettivo di ottenere accesso prolungato ai sistemi compromessi.
Come funziona la campagna: annunci Google e finte guide su ChatGPT
Gli attaccanti acquistano annunci di ricerca a pagamento per query come “chatgpt atlas”, intercettando utenti alla ricerca di strumenti basati su intelligenza artificiale. Il clic conduce a una pagina che appare come una guida di installazione di “ChatGPT Atlas per macOS”. In realtà, la pagina corrisponde a una conversazione ChatGPT condivisa sul dominio ufficiale chatgpt.com, creata tramite prompt engineering e poi ripulita per lasciare solo istruzioni operative.
La guida invita a copiare un unico comando, aprire Terminal su macOS, incollare la riga di codice e concedere le autorizzazioni richieste. La semplicità dell’azione e il contesto apparentemente affidabile aumentano la probabilità che l’utente proceda senza verifiche.
Dal comando al malware: la tecnica ClickFix su macOS
L’analisi di Kaspersky mostra che il comando scarica ed esegue uno script da un dominio esterno, atlas-extension[.]com. Lo script richiede più volte la password di sistema, validandola tramite l’esecuzione di comandi di sistema. Dopo l’inserimento corretto della password, il processo scarica AMOS, utilizza le credenziali sottratte per installarlo e avvia il malware. Questo flusso rientra nella tecnica ClickFix, una modalità di attacco che non sfrutta vulnerabilità software ma induce l’utente a eseguire manualmente comandi shell che recuperano ed eseguono codice remoto.
Cosa fa AMOS dopo l’installazione
Una volta attivo, Atomic macOS Stealer raccoglie dati ad alto valore economico. Il malware prende di mira password e cookie dei principali browser, informazioni da portafogli di criptovalute come Electrum, Coinomi ed Exodus, oltre a dati provenienti da applicazioni come Telegram Desktop e OpenVPN Connect. L’attività di raccolta include anche file con estensioni TXT, PDF e DOCX presenti nelle cartelle Desktop, Documenti e Download, oltre ai contenuti archiviati nell’app Note di macOS.
I dati vengono poi esfiltrati verso infrastrutture controllate dagli autori dell’attacco. In parallelo, l’infezione installa una backdoor persistente che si avvia automaticamente al riavvio del sistema, consentendo accesso remoto e replicando gran parte delle funzioni di raccolta dati di AMOS.
Infostealer e AI: una tendenza in crescita nel 2025
Secondo Kaspersky, questa campagna riflette una tendenza più ampia che vede gli infostealer tra le minacce in più rapida crescita del 2025. I gruppi criminali sperimentano sempre più spesso temi legati all’intelligenza artificiale, strumenti AI falsi e contenuti generati artificialmente per aumentare la credibilità delle esche. In passato, attività simili hanno incluso barre laterali AI contraffatte e client fraudolenti per modelli popolari. Il caso “Atlas” compie un passo ulteriore, abusando della funzione di condivisione dei contenuti di una piattaforma AI legittima.
Come sottolinea Vladimir Gursky, Malware Analyst di Kaspersky, l’efficacia dell’attacco non deriva da un exploit complesso ma dalla forza del social engineering. Un link sponsorizzato, una pagina ben formattata su un dominio affidabile e una procedura ridotta a un solo comando risultano sufficienti, per molti utenti, a superare le normali cautele e a esporre l’intero sistema a una compromissione duratura.
Le raccomandazioni di Kaspersky per gli utenti macOS
Kaspersky invita a mantenere un approccio prudente di fronte a guide non richieste che chiedono l’esecuzione di comandi su Terminal o PowerShell, soprattutto quando prevedono il copia-incolla di script da una sola riga. In presenza di istruzioni poco chiare, è opportuno chiudere la pagina o eliminare il messaggio e consultare una fonte competente prima di procedere. Una pratica utile consiste nel analizzare preventivamente i comandi sospetti con strumenti di sicurezza o sistemi AI separati, così da comprenderne il comportamento prima dell’esecuzione.
Infine, Kaspersky ribadisce l’importanza di software di sicurezza affidabili su tutti i dispositivi, inclusi macOS e Linux, in grado di rilevare e bloccare infostealer e payload correlati, come nel caso di Kaspersky Premium.
