Malware per Mac distribuito tramite un annuncio sponsorizzato su X. È questa la scoperta arrivata da Jamf Threat Labs, che analizzando una pubblicità dedicata all’app DynamicLake ha notato qualcosa di strano, un reindirizzamento verso un dominio che con l’applicazione originale non aveva nulla a che vedere. Un caso che dice parecchio su come si stanno muovendo oggi le campagne dannose contro chi usa un computer Apple.
Come funziona l’inganno dietro l’annuncio
Partiamo dall’app coinvolta. DynamicLake esiste davvero, è una utility per macOS che porta sui MacBook una funzione ispirata alla Dynamic Island vista sugli iPhone. Fin qui tutto legittimo. Il problema è che l’inserzione, invece di condurre al sito ufficiale, spediva gli utenti verso dynamicmacisland[.]com, una pagina fasulla costruita apposta. E lì scattava la richiesta sospetta, aprire il Terminale ed eseguire un comando di installazione.
Chi conosce un po’ il mondo della sicurezza avrà riconosciuto lo schema. Si tratta di una tecnica di social engineering in stile ClickFix. Il meccanismo è furbo quanto pericoloso, non sfrutta subito una falla tecnica del sistema, ma punta a convincere la persona a lanciare da sola il comando che avvia l’infezione. In pratica è l’utente stesso, senza rendersene conto, ad aprire la porta.
Il ruolo dell’account verificato su X
Qui arriva il dettaglio che rende la faccenda più insidiosa. L’annuncio non girava come semplice post organico buttato lì nel flusso. Era un contenuto sponsorizzato vero e proprio, distribuito attraverso un account verificato. Una combinazione che abbassa parecchio la guardia di chiunque. Il badge di verifica insieme a una promozione pagata trasmette un senso di affidabilità, e così anche un link che porta a un sito clone finisce per sembrare innocuo.
Jamf Threat Labs, dopo aver individuato il problema, ha avvisato il proprietario dell’account e ha segnalato l’inserzione direttamente a X. Stando a quanto riferito dal laboratorio di ricerca, l’annuncio è stato poi rimosso. Ma il segnale resta, e non è dei più tranquillizzanti. Le campagne contro macOS si stanno evolvendo, ai soliti siti falsi e ai cloni di app conosciute ora si aggiungono le inserzioni pagate, capaci di cavalcare la fiducia legata agli account con la spunta.
Cosa conviene tenere a mente
La lezione pratica è abbastanza semplice da riassumere. Ogni volta che salta fuori la richiesta di usare il Terminale, vale la pena fermarsi e farsi qualche domanda in più prima di digitare qualsiasi cosa. Il rischio cresce ancora di più quando l’invito arriva subito dopo il clic su un annuncio sponsorizzato. In quei momenti la cosa migliore da fare è controllare con calma il dominio su cui si è finiti e, soprattutto, scaricare i programmi soltanto dal sito ufficiale dello sviluppatore.
Il comando da Terminale, quando compare all’improvviso e con troppa insistenza, andrebbe sempre trattato con sospetto. Non c’è nulla di anomalo nel diffidare, anzi. In un contesto dove anche una spunta blu può diventare parte dell’esca, un po’ di sana prudenza fa la differenza tra installare un’app utile e ritrovarsi il sistema compromesso. Il caso DynamicLake mostra bene quanto sia sottile ormai la linea tra ciò che sembra affidabile e ciò che nasconde una trappola.