Una nuova campagna di attacchi informatici sfrutta finti colloqui su Zoom per colpire gli utenti Mac, e il meccanismo è tanto semplice quanto efficace. Tutto parte da un contatto su LinkedIn: un recruiter con un profilo credibile, un’azienda che sembra reale, una posizione lavorativa interessante. Dopo qualche messaggio, arriva l’invito a un colloquio tecnico su Zoom. Durante la chiamata, a un certo punto, viene chiesto di installare un aggiornamento dello Zoom SDK. Il file si apre nel Script Editor di macOS, ha un aspetto del tutto ordinario. Peccato che il malware sia nascosto in fondo a migliaia di righe di codice. Nessuno, nel bel mezzo di un colloquio, va a controllare cosa c’è scritto laggiù. Lo script viene eseguito, e il Mac finisce sotto il controllo di Sapphire Sleet, un gruppo hacker legato alla Corea del Nord.
Microsoft Threat Intelligence ha individuato e descritto la campagna in collaborazione con Apple. L’aspetto più subdolo è che l’attacco non sfrutta vulnerabilità software in senso stretto, ma la fiducia umana. Il recruiter è falso, il colloquio è falso, l’aggiornamento Zoom è falso. Eppure tutto sembra autentico. Il file malevolo è un AppleScript (.scpt) chiamato “Zoom SDK Update”. A prima vista appare innocuo: il codice dannoso è sepolto dopo migliaia di righe di codice apparentemente normale. Una volta che lo script viene eseguito, scarica payload aggiuntivi utilizzando meccanismi affidabili del sistema operativo e traccia il progresso della campagna con stringhe user agent specifiche.
Il malware lancia poi un’app chiamata “System Update” che mostra una finestra di dialogo in cui viene chiesta la password di sistema per “configurare le impostazioni”. La finestra usa elementi nativi di macOS ed è, a colpo d’occhio, indistinguibile da un prompt legittimo. Una volta inserita la password, questa viene validata contro il database del sistema e immediatamente inviata a Sapphire Sleet tramite l’API di Telegram Bot. Subito dopo, l’attacco mostra un’app “Software Update” che simula il completamento dell’aggiornamento Zoom, eliminando qualsiasi sospetto. Nel frattempo, vengono installate backdoor multiple per mantenere l’accesso persistente al Mac.
Quali dati vengono rubati e chi è nel mirino
L’elenco dei dati esfiltrati è impressionante: informazioni sul sistema e sulle app installate, dati delle sessioni Telegram, dati del browser e delle estensioni, il portachiavi macOS (keychain), wallet di criptovaluta desktop, chiavi SSH e cronologia della shell, Apple Notes, log di sistema e persino tentativi di accesso falliti. Praticamente tutto quello che passa per un Mac.
L’attacco è mirato a bersagli di alto valore, molto probabilmente professionisti tech e del settore crypto che utilizzano hardware macOS. La campagna richiede esplicitamente che il candidato usi un Mac durante il colloquio, si diffonde tramite profili recruiter falsi e si concentra sulla raccolta di dati da wallet crypto. Non si tratta di un attacco di massa: è spionaggio selettivo.