Il malware trojan su Mac ha raggiunto livelli mai visti prima. Secondo l’ultimo rapporto annuale di Jamf, la nota piattaforma di gestione dei dispositivi Apple, i trojan rappresentano ormai il 50% di tutti i rilevamenti di software malevolo su macOS, con un aumento impressionante di oltre 33 punti percentuali rispetto al dato del 2024. Un dato che racconta in modo piuttosto chiaro come stia cambiando il panorama delle minacce per chi usa un Mac, sia in ambito aziendale che personale.
L’analisi si basa su dati anonimizzati raccolti da oltre 1,4 milioni di Mac distribuiti in 90 paesi, tutti con software Jamf installato. Ed è proprio da questa enorme mole di informazioni reali che emergono numeri tutt’altro che rassicuranti: il 44% dei dispositivi monitorati ha mostrato traffico di rete malevolo, il 41% utilizza sistemi operativi gravemente non aggiornati e ben il 73% ha almeno un’applicazione con vulnerabilità note installata.
Atomic Stealer guida la classifica e sfuma i confini tra trojan e infostealer
Il protagonista assoluto di questa escalation è Atomic Stealer, conosciuto anche come AMOS. Da solo, questo malware è responsabile del 77,08% di tutta l’attività trojan rilevata e del 78,49% di quella legata agli infostealer. Il fatto che la stessa famiglia di malware domini entrambe le categorie non è affatto una coincidenza: sempre più infostealer utilizzano backdoor tipiche dei trojan per garantirsi persistenza nel sistema, e questo sta facendo lievitare enormemente i numeri dei rilevamenti trojan.
Come spiega Jamf nel rapporto, gli infostealer rappresentano spesso il primo stadio di attacchi più ampi. Possono trattenere i dati rubati per chiedere un riscatto oppure sfruttarli per infiltrarsi in altri account e sistemi. Per questo motivo sono diventati una merce molto richiesta tra i cybercriminali, al punto che molti sviluppatori li offrono come servizio. Le versioni più moderne di questi strumenti riescono a stabilire una backdoor e a mantenere la persistenza, sopravvivendo a riavvii e disconnessioni, permettendo agli attaccanti di inviare comandi da server di comando e controllo.
Va chiarito un aspetto: se è vero che tutti gli infostealer agiscono tecnicamente come trojan, mascherandosi per introdursi nei Mac delle vittime, non tutti i trojan sono infostealer. Molti trojan puntano a restare nascosti per mesi, stabilendo connessioni backdoor per l’esfiltrazione di file, il download di ulteriore codice malevolo oppure, soprattutto in ambienti aziendali, la cifratura dei file locali tramite ransomware.
Adware in caduta libera e nuove minacce emergenti
Un altro dato che colpisce riguarda il crollo dell’adware. Nel 2024 questa categoria pesava per il 28% di tutti i rilevamenti di malware su Mac, mentre nel 2025 è precipitata appena al 5,06%. Anche le PUA (applicazioni potenzialmente indesiderate) sono scese dal 15,06% al 4,84%. Se prima adware e infostealer erano praticamente alla pari, ora l’adware è diventato poco più di una nota a margine. Un segnale abbastanza evidente di come l’economia del malware si stia spostando sempre più verso il furto di dati rispetto ai ricavi pubblicitari.
Il rapporto di Jamf segnala anche alcune nuove famiglie di malware per Mac particolarmente interessanti. Intorno a novembre 2025 è stato individuato DigitStealer, un infostealer basato su JXA che risultava completamente non rilevato su VirusTotal. Questo malware utilizza tecniche avanzate di evasione, incluso un rilevamento hardware che ne limita l’esecuzione ai chip Apple Silicon M2 o successivi. Distribuisce quattro payload residenti in memoria capaci di rubare dati dei browser, portafogli di criptovalute e credenziali, oltre a compromettere Ledger Live e stabilire persistenza tramite una backdoor dinamica.