Un annuncio sponsorizzato su X si è trasformato in una trappola per gli utenti Mac. Il caso, documentato dal laboratorio di ricerca sulla sicurezza di Jamf, riguarda un malware diffuso attraverso una pubblicità apparsa sul social network. A rendere il tutto più insidioso è il fatto che l’inserzione partiva da un account verificato, con un seguito considerevole, e prometteva il download di un’app Mac molto conosciuta.
L’annuncio si spacciava per DynamicLake, un’utility legittima che trasforma il notch del MacBook in una versione non ufficiale ma perfettamente funzionante della Dynamic Island. Peccato che il link, invece di portare al sito reale, reindirizzasse a un dominio malevolo costruito apposta per somigliare all’originale, senza alcun legame con l’app vera.
Come funzionava l’inganno
Una volta atterrati sulla pagina fasulla, gli utenti ricevevano istruzioni per aprire il Terminale e incollare del codice di installazione. Quel codice, in silenzio, installava il malware sul Mac della vittima. È la tecnica classica che caratterizza gli attacchi di social engineering chiamati ClickFix. Vale la pena ricordarlo, perché è un punto che spesso sfugge: le app legittime, firmate e autenticate da Apple, non chiederanno mai di fare una cosa del genere.
Gli esperti di Jamf hanno identificato il carico dannoso come una recente variante di Atomic Stealer, tracciata internamente con il nome MacSync. In alcuni casi legati allo stesso attacco è spuntato anche DigitStealer. Il dettaglio dell’account verificato merita un ragionamento a parte. Chi lo gestiva non aveva alcuna intenzione di diffondere software dannoso. A quanto pare si è fidato dell’inserzione, l’ha approvata convinto che fosse tutto in regola, senza sapere dove portava davvero. Un badge di verifica e un nome familiare trasmettono una fiducia che un profilo qualsiasi non potrebbe mai dare. E la fiducia, si sa, è il terreno su cui prosperano gli attacchi di ingegneria sociale.
Il vero problema è la piattaforma
Che il titolare dell’account sia caduto nella trappola è un conto. Che X abbia approvato l’annuncio e lo abbia spinto come post promosso è un altro discorso. La pubblicità è passata attraverso il sistema pubblicitario di X, controlli inclusi, e ha comunque raggiunto gli utenti. Il dominio clone e il singolo reindirizzamento erano quasi certamente pensati per aggirare le scansioni automatiche della piattaforma. E hanno funzionato.
Il déjà vu è inevitabile. Negli ultimi anni Google Ads ha approvato una quantità imbarazzante di domini malevoli finiti in cima ai risultati di ricerca. Un caso dell’anno scorso riguardava finte inserzioni di Homebrew che distribuivano malware proprio agli utenti Mac.
La risposta dello sviluppatore
Questa è la prima volta che si vede un malware promosso tramite pubblicità su X, ma lo sviluppatore del vero DynamicLake combatte da tempo contro cloni malevoli. I falsi si sono diffusi al punto da spingerlo a rilasciare una dichiarazione.
Ha spiegato di essere davvero dispiaciuto per chiunque volesse installare DynamicLake e si sia ritrovato a scaricare il malware. L’app, ha ricordato, porta semplicemente la Dynamic Island sul Mac, e mai avrebbe immaginato che qualcuno potesse abusare del marchio in questo modo. Ha aggiunto di lavorare duramente per contrastare le copie false, che però continuano a spuntare ogni pochi mesi, e di non voler mollare nella difesa del progetto e della sua community.
Il consiglio è netto: scaricare DynamicLake solo da DynamicLake.com, dove gli acquisti passano in sicurezza attraverso Gumroad. Chi non fosse sicuro di avere l’app autentica può contattarlo direttamente per un controllo. Jamf ha segnalato l’annuncio a X, che lo ha rimosso piuttosto in fretta.