Per anni ci è stato insegnato che se un’applicazione su macOS non viene bloccata da Gatekeeper e risulta “Notarizzata da Apple”, allora è sicura da installare. Purtroppo, questa certezza sta iniziando a vacillare. Un nuovo report di 9to5Mac, basato sulle ricerche dei laboratori Jamf Threat Labs, evidenzia un problema crescente e preoccupante: il malware sta diventando abbastanza intelligente da ingannare i processi di verifica di Apple, ottenendo il “bollino blu” di autenticità prima di infettare i computer degli utenti.
AppleZein Rumors Score: 100% (Report Sicurezza Confermato) 🟢
Il trucco del “Cavallo di Troia” digitale su macOS
La scorsa settimana è stata individuata una nuova variante della famiglia di malware MacSync Stealer. La cosa scioccante non è tanto il malware in sé, quanto il modo in cui arriva sul tuo Mac. Questa applicazione dannosa è risultata essere sia firmata digitalmente con un ID sviluppatore valido, sia notarizzata da Apple.
In termini pratici, questo significa che quando l’utente tenta di aprirla, macOS non mostra alcun avviso di pericolo. Gatekeeper la lascia passare perché, formalmente, tutte le carte sono in regola. Ma come fanno gli hacker a ottenere questa certificazione? Secondo gli esperti, i criminali informatici stanno utilizzando un mix di tecniche astute:
• ID Compromessi: Acquistano o rubano certificati Developer ID reali tramite canali sotterranei, riducendo i sospetti iniziali.
• Il trucco del tempo: L’app che inviano ad Apple per il controllo è, in apparenza, innocua. È un semplice eseguibile (spesso basato su Swift) che supera l’analisi statica perché, in quel momento, non contiene codice maligno.
L’attacco avviene dopo il controllo
Il vero comportamento dannoso si attiva solo dopo che l’app è stata installata sul Mac della vittima. Una volta avviato, il software comunica con un server remoto e scarica il “payload” (la parte cattiva del codice) in un secondo momento.
Il sistema di notarizzazione di Apple ha un limite intrinseco: analizza ciò che esiste al momento della sottomissione, non ciò che l’app potrebbe scaricare dal web in futuro. Gli attaccanti stanno sfruttando proprio questo punto cieco, progettando malware che si “assembla” solo quando è al sicuro dentro il computer dell’utente, rendendo inutile la scansione preventiva di Cupertino.
Come difendersi oggi?
Non è la prima volta che accade (il primo caso risale al 2020), ma la frequenza sta aumentando. Sebbene il sistema di Apple funzioni bene per tracciare e revocare i certificati dei cattivi attori una volta scoperti, non è una garanzia di immunità preventiva.
La lezione è chiara: il fatto che un’app si apra senza errori di sistema non significa che sia benevola al 100%. La difesa migliore rimane il buon senso:
• Scaricare software solo dal Mac App Store quando possibile.
• Affidarsi esclusivamente a siti di sviluppatori noti e fidati.
• Diffidare di app sconosciute che chiedono permessi eccessivi, anche se macOS non le blocca all’avvio.
[fonte]