Sommario
Negli ultimi mesi la scena malware su macOS sta mostrando un’accelerazione senza precedenti, sia in termini di tecniche avanzate sia di target strategici. Due recenti campagne — Zuru travestito da Termius e il nuovo aggiornamento di Atomic macOS Infostealer — illustrano un salto di qualità nell’arsenale delle minacce, con impatti potenzialmente critici sia per utenti finali che per aziende e fornitori di servizi IT.
Zuru: evoluzione del supply chain attack, nuova variante nascosta in Termius
La backdoor Zuru, già rilevata in precedenza su macOS, si ripresenta ora in una versione profondamente aggiornata che sfrutta la supply chain compromessa della popolare app Termius, strumento SSH utilizzato da amministratori e sviluppatori. Il malware viene distribuito tramite installer modificati, spesso reperibili su siti o canali alternativi che sembrano legittimi. A livello tecnico, la catena d’infezione integra il modulo malevolo Khepri C2, che viene eseguito in modalità fileless direttamente in memoria, minimizzando tracce su disco e aggirando le difese tradizionali di sicurezza endpoint.
La variante documentata da SentinelOne conserva tutte le funzionalità attese dall’utente, assicurando la massima trasparenza dell’attività malevola: durante l’installazione, infatti, la versione doctored di Termius opera normalmente, mentre la backdoor attiva un canale crittografato con i server di comando e controllo, scarica altri payload, raccoglie dati sensibili (token SSH, chiavi, password) e può mantenere la persistenza grazie a servizi di sistema occultati.
Le caratteristiche principali di questa campagna includono:
– Tecnica fileless e impianto C2 Khepri memory-resident.
– Esecuzione parallela di Termius e codice malevolo, senza anomalie apparenti.
– Download e lancio di ulteriori moduli payload secondo necessità dell’attaccante.
– Rilevamento e rimozione attiva di eventuali strumenti di analisi o sandbox.
– Persistere anche dopo reboot tramite LaunchAgent o LaunchDaemon.
Il rischio supply chain si amplifica: chi installa tool tecnici da fonti non ufficiali diventa bersaglio di attacchi mirati e quasi invisibili.
Atomic macOS Infostealer: dall’infostealer alla backdoor persistente
Parallelamente, il già noto Atomic macOS Infostealer — malware in vendita nei circuiti cybercriminali, specializzato nel furto di credenziali, dati finanziari e wallet — ha subito un upgrade sostanziale. I ricercatori hanno identificato una nuova versione dotata di backdoor persistente. Oltre al classico furto di password (Safari, Chrome, Firefox, Keychain), wallet di criptovalute (Atomic, Exodus, Electrum, Binance) e screenshot, ora Atomic può instaurare un accesso remoto permanente attraverso la creazione di servizi LaunchAgent nascosti nella directory utente (~/Library/LaunchAgents/).
Questo approccio assicura che il malware si riattivi a ogni avvio del sistema e possa ricevere comandi, esfiltrare file e installare ulteriori moduli malevoli su richiesta. La capacità di aggiornarsi in modo autonomo e di camuffare la propria presenza tramite nomi e path simili a quelli di applicazioni legittime rappresenta una sfida ulteriore per le tradizionali soluzioni di difesa, spesso focalizzate solo su signature note.
Come agiscono i nuovi malware macOS?
Le analisi confermano che sia Zuru sia Atomic adottano metodologie avanzate per la persistenza. Tra queste:
– Installazione di servizi LaunchAgent/LaunchDaemon mascherati.
– Esecuzione in memoria (fileless execution) per ridurre l’impatto forense.
– Comunicazione cifrata e multi-canale con server di comando e controllo.
– Rilevamento e disabilitazione di tool di sicurezza e analisi.
– Creazione di account amministrativi fittizi o modifica delle configurazioni di sistema (in particolare per Zuru tramite componenti C2 personalizzati).
Inoltre, la tendenza a colpire utenti tecnici — sysadmin, sviluppatori, DevOps, personale IT — rende queste campagne particolarmente insidiose, poiché le credenziali sottratte possono essere sfruttate per attacchi successivi a catena (escalation laterale, accesso a repository sensibili, attacchi supply chain secondari).
Implicazioni per la sicurezza aziendale e raccomandazioni operative
Le campagne Zuru e Atomic Infostealer rappresentano uno spartiacque nell’approccio degli attaccanti al mondo macOS. Le organizzazioni devono:
– Rafforzare il monitoraggio dei download e delle installazioni di software, soprattutto se provengono da canali non ufficiali.
– Integrare soluzioni EDR (Endpoint Detection and Response) in grado di analizzare comportamento e processi anomali, anche su macOS.
– Verificare periodicamente la presenza di servizi anomali in ~/Library/LaunchAgents/ e /Library/LaunchDaemons/, analizzando ogni file sospetto.
– Sensibilizzare il personale tecnico sui rischi supply chain e sulle best practice di sicurezza (verifica delle firme, controlli hash, fonti affidabili).
– Considerare l’utilizzo di soluzioni di monitoraggio della rete che rilevino anomalie nelle comunicazioni outbound verso infrastrutture C2 note o sospette.
L’adozione di tecniche fileless e la sofisticazione dei meccanismi di persistenza segnano un salto qualitativo nell’evoluzione del cybercrime su macOS, rendendo indispensabile una strategia di difesa multilivello, aggiornata e specifica per le peculiarità dell’ecosistema Apple.
