AMOS infostealer: la trappola delle estensioni AI che buca macOS passando da ChatGPT, Grok e Google Ads

Il nuovo vettore che porta AMOS infostealer su macOS non assomiglia al classico “download da sito sconosciuto”. È più subdolo, perché tenta di trasformare in canale di fiducia proprio ciò che l’utente considera più affidabile: piattaforme AI riconosciute, risultati “in cima” grazie a Google Ads, e domini che a colpo d’occhio sembrano legittimi perché collegati a servizi noti. Il punto non è soltanto che l’utente clicca. Il punto è che l’utente viene spinto a credere che la fonte sia verificata, che l’istruzione sia “confermata”, che il percorso sia normale. E quando lo scenario appare normale, la soglia critica diventa una sola: eseguire comandi nel Terminale. È qui che l’attacco cambia pelle. Non cerca di forzare una vulnerabilità del sistema operativo in modo diretto. Cerca di far eseguire alla vittima un’azione che, dal punto di vista tecnico, è equivalente a consegnare le chiavi di casa a uno sconosciuto. L’utente apre una chat condivisa, legge istruzioni presentate come “soluzione” o “procedura”, copia e incolla in Terminale, autorizza l’operazione e consegna al malware un canale privilegiato. Da quel momento, lo scenario peggiore non è più “un’app sospetta” che si nota in tempo. È un infostealer che lavora in silenzio, raccoglie credenziali, sessioni, token e dati di wallet, poi esfiltra. E nel mondo cripto, esfiltrare significa spesso perdita irreversibile, perché una transazione non si annulla e un trasferimento non si richiama. L’elemento più destabilizzante di questa storia è che mette in crisi una convinzione ancora diffusissima: “su Mac certe cose non succedono”. Non solo succedono, ma si adattano. E si adattano in modo industriale, con tattiche che sfruttano il perimetro della fiducia digitale, non il perimetro della vulnerabilità tecnica.

Attacco tramite fiducia: quando la catena inizia da ChatGPT, Grok e annunci sponsorizzati

Il meccanismo descritto ruota intorno a un concetto: l’iniezione di fiducia. Gli attori costruiscono contenuti malevoli che non vengono presentati come “malware”, ma come istruzioni, procedure, scorciatoie, guide rapide. Il contenuto viene poi inserito in contesti che l’utente percepisce come affidabili, ad esempio chat condivise su piattaforme note. La leva psicologica è semplice: se la procedura “vive” in un ambiente autorevole, e se quell’ambiente appare associato a un marchio o a un dominio riconosciuto, allora la procedura sembra legittima. A questa prima leva se ne aggiunge una seconda, più aggressiva: la promozione con Google Ads. Quando l’utente cerca una soluzione, vede un risultato sponsorizzato che compare in cima. Nella sua mente, quello spazio in alto diventa un segnale di rilevanza e, spesso, di affidabilità. È un’abitudine radicata: se è in cima e ha un aspetto pulito, “sarà quello giusto”. Qui l’attacco non ha bisogno di convincere tutti. Gli basta intercettare una percentuale minima di utenti in un momento specifico: quando hanno fretta, quando sono in difficoltà, quando cercano una scorciatoia. Il passaggio chiave, quasi sempre, è la richiesta di eseguire comandi nel Terminale. Un comando in Terminale, su macOS, non è un gesto neutro. È un ponte verso un livello di controllo che molte persone non misurano. Il social engineering moderno non chiede più “installa questo”. Chiede “esegui questo per risolvere”. E la forma “risolutiva” rende più facile aggirare la diffidenza. In questo contesto, il dettaglio davvero pericoloso è che l’attacco sfrutta anche la confusione fra “essere su una piattaforma AI” e “essere verificati”. L’utente vede una conversazione, un contenuto condiviso, un formato coerente con ciò che ha già visto in passato. E scambia la coerenza del formato per affidabilità del contenuto. È una trappola culturale prima ancora che tecnica.

AMOS infostealer su macOS: cosa ruba e perché il bersaglio preferito è chi usa wallet

Quando AMOS infostealer entra in azione, la priorità è sottrarre asset ad alto valore e ad alta monetizzabilità. Su macOS questo significa innanzitutto dati dei browser, perché dentro i browser c’è la vita digitale: credenziali salvate, cookie, sessioni attive, auto-compilazioni, cronologie, identità. Subito dopo entra in gioco Keychain, perché Keychain non è solo un portachiavi: è un concentratore di segreti che possono sbloccare servizi, account aziendali, autenticazioni e, in alcuni casi, certificati o credenziali applicative. Ma il punto centrale, nel racconto che emerge, è l’associazione con il mondo cripto. I wallet e i servizi collegati alla gestione di asset digitali sono una fonte di monetizzazione rapida. Se l’attore riesce a ottenere dati utili, la finestra tra compromissione e furto può essere breve. E quando avviene il trasferimento, spesso non c’è modo di tornare indietro. È la parte più brutale del cybercrime orientato ai wallet: la vittima non scopre il danno “domani”. Lo scopre quando guarda il saldo. E a quel punto la reazione è quasi sempre tardiva. Questo spiega perché i target preferenziali tendono a essere utenti macOS con abitudini specifiche: sviluppatori, professionisti che gestiscono ambienti digitali complessi, e persone che usano strumenti cripto in modo operativo, non occasionale. L’infostealer si muove dove trova densità di valore.

GitHub Pages come trampolino: reputazione di piattaforma e reindirizzi a catena

Un’altra componente significativa è l’uso di GitHub Pages come hosting per pagine apparentemente innocue che poi reindirizzano verso payload o script malevoli. Questo tipo di scelta non è casuale. GitHub è percepito come piattaforma di sviluppo, quindi come ambiente “tecnico”, e di conseguenza come luogo dove un utente può aspettarsi di vedere istruzioni, snippet e procedure. La reputazione del brand diventa un ammortizzatore psicologico: se è su GitHub, allora “sarà una cosa da smanettoni, ma ok”. Il punto è che l’attacco non si limita a un singolo hop. Costruisce spesso reindirizzi multipli, catene che riducono la visibilità immediata del punto d’arrivo. L’utente vede un passaggio, poi un altro, e finisce per perdere la capacità di ricostruire da dove è partito. È una tecnica che sfrutta la frammentazione del percorso: se la mente non ricostruisce la catena, la mente smette di dubitare. In mezzo a questo, l’aspetto più delicato è che il reindirizzo viene presentato come parte di una procedura tecnica. Non è “clicca qui e scarica”. È “segui il flusso”. L’utente non si percepisce come vittima, si percepisce come persona che sta “configurando”.

Dalla “drag-to-terminal” ai tool firmati: la maturità del malware macOS

L’evoluzione descritta su macOS è un punto che merita un discorso a parte. Per anni, una parte della narrativa sulla sicurezza Apple si è basata sull’idea che i malware su Mac fossero più rari, più rozzi, meno industrializzati. Quella fase non è sparita, ma viene superata da una nuova: tool più curati, campagne più strutturate, e soprattutto un uso sistematico di elementi che neutralizzano la diffidenza. Il passaggio dalla tecnica “drag-to-terminal” a strumenti più sofisticati è, di fatto, un passaggio dalla truffa artigianale alla truffa industriale. Se l’attore distribuisce un’app, la confeziona, la presenta come installer di un prodotto noto, la accompagna con decoy e materiali di contorno, e la fa apparire coerente con il contesto, la probabilità di successo cresce. In più, se riesce a far firmare o notarizzare, oppure a utilizzare certificati rubati, aggira uno degli scudi psicologici principali: l’avviso del sistema. Qui entra in gioco il tema della firma e dei certificati. Il fatto che una componente sia firmata, o sembri firmata, riduce drasticamente la percezione di rischio per molti utenti. È un elemento che trasforma un malware in “software normale”. E quando il software appare normale, le persone smettono di cercare segnali di allarme. Questa dinamica ha un impatto pesante anche sulle aziende, perché una compromissione su macOS non è solo “furto di password”. È esposizione di identità enterprise, sessioni, accessi a strumenti SaaS, e potenzialmente credenziali che aprono canali laterali verso ambienti aziendali. In altre parole, l’infostealer può trasformarsi in un ponte verso intrusioni più ampie.

UNC5142 e la distribuzione via WordPress: oltre 14.000 siti come infrastruttura involontaria

Il quadro si allarga ulteriormente quando entra in scena una campagna che compromette migliaia di siti, in particolare WordPress, e usa quei siti come piattaforma di distribuzione. Qui non siamo più nella dimensione del singolo dominio trappola. Siamo nella dimensione di una rete: siti legittimi, compromessi, che diventano veicolo di script iniettati. Il dettaglio più inquietante è l’uso di tecniche che mimetizzano la comunicazione come traffico Web3 “normale”, sfruttando smart contract su una chain pubblica. L’obiettivo è ridurre la probabilità di detection, mescolare la comunicazione malevola dentro un rumore di fondo che assomiglia a attività legittime. È un salto concettuale: la blockchain, in questo scenario, non è solo un obiettivo economico. Diventa anche un linguaggio di occultamento. Quando una campagna compromette migliaia di siti e usa JavaScript iniettato per orchestrare fasi successive, la superficie diventa enorme. Non conta più soltanto se l’utente visita un sito sospetto. Conta se visita un sito legittimo che, in quel momento, è compromesso. Questo sposta la responsabilità percepita: non è più “hai cliccato dove non dovevi”. È “hai visitato un sito normale in un momento sbagliato”. Ed è qui che la vecchia educazione “non cliccare link sospetti” inizia a non bastare più.

ParallelUnivers e i modelli di revenue-sharing: l’economia criminale che si professionalizza

Dentro questo scenario, compare anche un elemento da economia criminale: tooling offerto come servizio, agenti residenti per più sistemi operativi, funzionalità come esecuzione comandi, gestione file, screenshot, e comunicazioni cifrate. La cosa che cambia, rispetto al passato, è la struttura commerciale. Non si tratta solo di rubare. Si tratta di offrire un servizio, misurare performance, iterare sulla base del feedback, e dividere profitti con partner secondo logiche di revenue-sharing. Quando un ecosistema criminale adotta modelli 50/50 per i furti cripto e lascia ai partner la possibilità di trattenere dati non cripto, sta dicendo una cosa precisa: esiste un mercato, esiste una filiera, esiste una specializzazione. Qualcuno fa l’infrastruttura, qualcuno fa la distribuzione, qualcuno monetizza, qualcuno ricicla. E più la filiera si specializza, più diventa efficiente. Per chi difende, questo significa che non basta bloccare “un malware”. Serve leggere le catene, le relazioni, i pattern. Perché se l’attore è sostituibile, la campagna rinasce con un altro nome e gli stessi meccanismi. L’industria del cybercrime funziona così: quando una tecnica funziona, viene replicata e migliorata.

Perché la storia delle “estensioni AI avvelenate” è un problema di fiducia, non solo di malware

Il passaggio che rende questa vicenda più pericolosa di molte altre è il suo posizionamento culturale. Non sta chiedendo alla vittima di fare qualcosa di “sospetto”. Sta chiedendo di fare qualcosa che, nella mente della vittima, ha una motivazione. E lo fa usando il contesto dell’AI, che oggi è percepito come strumento di soluzione rapida: “chiedo a un assistente, seguo i passi, risolvo”. Il rischio reale, quindi, non è soltanto AMOS. È l’idea che l’AI sia un canale neutro, sempre corretto, sempre affidabile. Quando un attore riesce a inserire contenuto malevolo in un canale percepito come autorevole, la difesa deve spostarsi su nuove regole: verificare la provenienza, diffidare dei passaggi che portano a Terminale, e soprattutto riconoscere che un annuncio sponsorizzato non è un sigillo di qualità. Questo cambia anche la formazione interna delle aziende. Per anni si è insegnato a riconoscere allegati e link sospetti. Ora serve insegnare a riconoscere procedure sospette, soprattutto quando coinvolgono comandi, permessi, password, e richieste di autorizzazione. Il social engineering moderno non chiede più “clicca qui”. Chiede “incolla questo”.

Indicatori comportamentali su macOS: quando l’anomalia è l’azione, non il file

Una delle conseguenze più immediate di campagne come questa è che la detection deve diventare più legata ai TTP macOS-specifici, cioè a comportamenti tipici dell’esfiltrazione su macOS. L’estrazione di Keychain e l’accesso a contenuti sensibili non dovrebbero essere “rumore di fondo”. Dovrebbero essere eventi ad alta priorità, perché spesso non fanno parte dell’uso quotidiano di un utente medio. Allo stesso modo, attività anomale in Terminale, soprattutto quando compaiono comandi che scaricano ed eseguono script, dovrebbero essere trattate come evento critico, perché rappresentano la rottura più evidente della catena di fiducia. Nel caso di un infostealer, poi, i pattern di esfiltrazione possono essere sottili, ma tendono a lasciare tracce: connessioni verso domini o endpoint inusuali, accessi a file di configurazione e storage del browser, tentativi di enumerare wallet o directory legate a strumenti cripto, e richieste di privilegi che non si spiegano con l’uso standard. Il problema, per molte organizzazioni, è che macOS è ancora spesso fuori dal perimetro “serio” di monitoring. Si protegge Windows con un certo rigore, si monitora server e cloud, ma il Mac rimane talvolta trattato come endpoint “premium” e quindi “meno a rischio”. Questa convinzione è esattamente ciò che campagne come quella descritta sfruttano.

Impatto per aziende e professionisti: l’infostealer come ponte verso l’identità enterprise

Per un’azienda, il danno potenziale non si ferma al singolo dipendente che perde accessi personali. Se un infostealer prende credenziali browser, cookie di sessione, token e password, può aprire un varco verso strumenti aziendali. Questo vale soprattutto per ambienti dove molte attività passano da web app e dove le sessioni persistenti sono la norma. L’impatto diventa più grave quando l’endpoint compromesso appartiene a una figura con ruoli privilegiati, o con accesso a strumenti di deployment, repository, pannelli di amministrazione, oppure gestione di pagamenti. In quel caso, l’infostealer non è un furto “individuale”. È l’inizio di una catena di compromissione che può diventare incident response costosa e, in alcuni settori, anche obbligo di notifica e gestione legale. Ecco perché la parte più importante della storia non è il nome del malware. È il vettore. Se il vettore è la fiducia, allora la difesa deve includere una strategia di riduzione della fiducia automatica: regole interne su cosa si può incollare in Terminale, politiche su software installabile, controllo delle estensioni e dei componenti di browser, e soprattutto formazione aggiornata al 2026, non al 2016.

La fine del mito: “Mac non prende virus” come rischio operativo

La frase “Mac non prende virus” non è solo sbagliata. È un rischio operativo, perché porta a ridurre investimenti, a rinviare controlli, a trattare endpoint Apple come eccezione. Le campagne descritte mostrano una realtà diversa: il malware su macOS non solo esiste, ma evolve, si firma, si maschera, si distribuisce tramite infrastrutture legittime compromesse e sfrutta la cultura dell’AI come canale di diffusione. Il punto è che la sicurezza moderna non si gioca più sul singolo segnale di allarme. Si gioca sulla capacità di riconoscere una catena. In questa catena ci sono annunci sponsorizzati, chat condivise, istruzioni “tecniche”, Terminale, installazione, esfiltrazione, monetizzazione cripto. Se si spezza la catena in un punto qualunque, l’attacco fallisce. Ma se si continua a ragionare con le regole del “non cliccare link sospetti”, la catena resta intatta, perché i link non sembrano sospetti e le istruzioni sembrano legittime. In questo senso, la difesa più concreta è culturale e tecnica insieme. Culturale perché bisogna smontare la fiducia automatica verso risultati sponsorizzati e procedure condivise. Tecnica perché bisogna trattare macOS come endpoint di prima classe, con monitoring, regole, detection comportamentale e risposta rapida agli indicatori tipici di infostealer.