Sommario
Le minacce malware stanno evolvendo rapidamente, sfruttando nuove tecniche come ClickFix e loader personalizzati per distribuire infostealer e backdoor su sistemi Mac e Linux. Dal 2024 al 2025 ricercatori hanno osservato campagne sempre più sofisticate che includono abusi di file .desktop su Linux, falsi fix su Mac per installare Shamos (una variante di Atomic Stealer), e nuovi trojan come GodRAT, che impiega steganografia per colpire aziende finanziarie. Loader come QuirkyLoader e backdoor come VShell e CornflakeV3 vengono utilizzati in attacchi mirati contro governi, difese e utenti enterprise. Parallelamente, exploit noti come CVE-2023-46604 su Apache ActiveMQ vengono ancora sfruttati, con malware come DripDropper che patchano la vulnerabilità post-intrusione per evitare la detection. Questo scenario sottolinea un aumento di attacchi ibridi, che combinano phishing, malvertising ed exploit, mettendo a rischio credenziali, dati sensibili e infrastrutture critiche.
Tecniche ClickFix per infostealer su Mac
Le campagne ClickFix mirano a ingannare utenti Mac attraverso falsi tutorial di troubleshooting. Gli attaccanti diffondono pagine che simulano errori di sistema o di periferiche e invitano a eseguire comandi shell. Questi comandi decodificano URL Base64 e scaricano script Bash che rimuovono i flag di quarantena e rendono eseguibili binari Mach-O malevoli. Tra le minacce più diffuse c’è Shamos, una variante di Atomic Stealer sviluppata dal gruppo COOKIE SPIDER, che ruba credenziali da browser, Keychain, Apple Notes e wallet crypto. Per garantirsi la persistenza, il malware crea file Plist in LaunchDaemons e adotta tecniche anti-VM per evitare analisi sandbox. Dal giugno 2025 Shamos ha già colpito oltre 300 ambienti. ClickFix si diffonde tramite malvertising e falsi CAPTCHA, bypassando Gatekeeper e sfruttando overlay invisibili che manipolano i click dell’utente.
Loader e trojan emergenti in campagne globali
Dal novembre 2024 è attivo QuirkyLoader, un loader che diffonde infostealer come Agent Tesla, AsyncRAT e Snake Keylogger. La tecnica principale è il DLL side-loading, in cui un file DLL malevolo viene caricato da un eseguibile legittimo, consentendo injection in processi Windows come AddInProcess32.exe. Campagne di phishing hanno preso di mira aziende in Asia e America Latina, sfruttando anche QR code inseriti nelle email. Parallelamente, è emerso GodRAT, evoluzione di Gh0st RAT, che impiega steganografia per nascondere shellcode all’interno di immagini distribuite come documenti finanziari. Questo trojan è stato osservato contro trading firms in Hong Kong, Emirati Arabi e Libano, con capacità di esfiltrazione di credenziali da browser e distribuzione di plugin aggiuntivi.
Exploit su Apache ActiveMQ e DripDropper
La vulnerabilità CVE-2023-46604 su Apache ActiveMQ continua a essere sfruttata da campagne che diffondono malware come DripDropper. Questo loader, distribuito come ELF con PyInstaller, utilizza Dropbox come infrastruttura di comando e controllo, modifica i file di configurazione SSH e altera i job pianificati di sistema tramite anacron per garantire persistenza. La caratteristica più avanzata è la capacità di patchare la stessa vulnerabilità sfruttata per l’accesso, eludendo così scanner successivi e rendendo difficile la detection. DripDropper è stato collegato a infezioni che hanno distribuito RAT come Sliver, infostealer e perfino ransomware, colpendo ambienti Linux cloud.
CornflakeV3 e varianti backdoor
CornflakeV3 rappresenta l’evoluzione delle campagne malware diffuse tramite ClickFix. Viene distribuito attraverso falsi CAPTCHA o script PowerShell lanciati via Run dialog. Questo backdoor supporta il download di payload multipli (exe, DLL, batch, PowerShell) e mantiene persistenza tramite chiavi Registry Run. Utilizza anche Cloudflare Tunnels per stabilire comunicazioni sicure con i C2 e integra moduli come WINDYTWIST per la ricognizione Active Directory e Kerberoasting per l’estrazione di credenziali. Alcune campagne hanno mirato a portali di prenotazione viaggi e grandi aziende europee, mostrando la versatilità del malware.
VShell e malware Linux via RAR filenames
Il malware VShell, scritto in Go, è stato osservato in campagne di phishing che distribuiscono archivi RAR con filename malevoli. Una volta aperti, i file sfruttano shell injection per eseguire script Bash che scaricano payload ELF compatibili con più architetture. VShell consente esfiltrazione di dati, reverse shell e operazioni file in memoria, riducendo le tracce su disco e sfuggendo agli antivirus. I bersagli principali sono stati ambienti Linux in settori tecnologici e sanitari, con particolare attenzione a workstation individuali meno protette.
