Kaspersky torna a richiamare l’attenzione su una truffa in crescita che prende di mira gli utenti macOS sfruttando un elemento insospettabile: le conversazioni condivise del sito ufficiale di ChatGPT. Dopo le recenti segnalazioni di campagne che imitavano servizi VPN, i ricercatori hanno identificato un’operazione più elaborata, costruita per distribuire l’infostealer AMOS (Atomic macOS Stealer) insieme a una backdoor persistente.
L’intera truffa si regge su un uso accurato del social engineering. Gli aggressori acquistano annunci sponsorizzati su Google per ricerche mirate — ad esempio “chatgpt atlas” — e indirizzano così la vittima verso una guida fasulla per installare un inesistente “ChatGPT Atlas per macOS”. La pagina di destinazione, però, non è un sito artificiale: è una conversazione ChatGPT condivisa, pulita di ogni dettaglio superfluo, così da sembrare credibile e legittima.
Come avviene l’infezione e cosa installa sul sistema
La schermata mostra passaggi semplici, culminando in un’unica richiesta: copiare una riga di codice e incollarla nel Terminale di macOS. Secondo l’analisi svolta da Kaspersky, quel comando scarica da un dominio esterno uno script progettato per insistere più volte sulla richiesta della password di sistema, sfruttando una variante della tecnica ClickFix. Una volta ottenute le credenziali, lo script completa l’installazione di AMOS, attivando al tempo stesso una backdoor configurata per riavviarsi automaticamente.
L’infostealer raccoglie una gamma estesa di informazioni: password, cookie di navigazione, dati memorizzati su browser diffusi, credenziali di portafogli crypto come Electrum, Coinomi ed Exodus, oltre ai contenuti presenti in applicazioni come Telegram Desktop e OpenVPN Connect. Il malware effettua anche una scansione mirata delle cartelle Desktop, Documenti e Download per individuare file potenzialmente sensibili — TXT, PDF, DOCX — e persino le note salvate nell’app Notes di macOS. Tutto il materiale raccolto viene inviato a una rete controllata dagli attaccanti, che grazie alla backdoor mantengono accesso remoto continuativo.
Una minaccia in espansione che sfrutta il contesto AI
Kaspersky sottolinea come gli infostealer siano tra le minacce in più rapida crescita del 2025. Gli attaccanti puntano sempre più spesso sull’ecosistema dell’intelligenza artificiale per rendere le esche più convincenti: pagine pulite, interfacce familiari e l’uso del brand ChatGPT contribuiscono ad abbassare la soglia di attenzione delle potenziali vittime.
Come spiegato da Vladimir Gursky, Malware Analyst di Kaspersky, la forza di questa campagna non risiede in un exploit avanzato, ma nella capacità di intrecciare social engineering e contesto AI in un modo che appare affidabile. Un link sponsorizzato, una conversazione formattata in modo professionale e un semplice comando da incollare nel Terminale: per molti utenti, questa combinazione basta a far scattare la trappola.
Kaspersky consiglia di prestare la massima attenzione a qualsiasi guida che suggerisca di eseguire comandi Terminal o PowerShell provenienti da pagine inattese, soprattutto se condivise tramite chat o link non verificati.
