Un contatto apparentemente genuino su LinkedIn può trasformarsi rapidamente in un rischio: profilo del recruiter, nome azienda e calendario del colloquio sono credibili, ma la partita si decide quando viene richiesto di installare un aggiornamento. In questo scenario un file etichettato come Zoom SDK Update si apre nel Script Editor di macOS e sembra innocuo fino a quando non viene eseguito. Il punto chiave è che l’attacco sfrutta la fiducia umana piuttosto che una vulnerabilità tecnica, trasformando un momento professionale in un’opportunità per il furto di credenziali e dati.
Meccaniche dell’attacco
Il file malevolo è un AppleScript pieno di codice apparentemente banale, con il payload nascosto a fondo pagina tra migliaia di righe. Una volta lanciato, lo script scarica componenti aggiuntivi usando meccanismi di sistema affidabili e crea finestre ingannevoli come l’app System Update che richiede la password di sistema per “configurare le impostazioni”.
Questa finestra utilizza elementi nativi di macOS, quindi è difficile da distinguere da una richiesta legittima. L’inserimento della password attiva la verifica locale e contemporaneamente invia le credenziali agli aggressori tramite un Telegram Bot.
Strumenti e persistenza
Il gruppo identificato come Sapphire Sleet, collegato alla Corea del Nord, usa l’accesso ottenuto per installare più backdoor e mantenere la presenza sul sistema. Oltre alla password di amministratore, il malware esfiltra un elenco esteso di informazioni: dettagli di sistema, dati delle app installate, sessioni di Telegram, dati del browser e delle estensioni, il portachiavi macOS (keychain), wallet di criptovalute desktop, chiavi SSH, cronologia della shell, note Apple e log di sistema, inclusi tentativi di accesso falliti. La capacità di raccogliere dati dai wallet lo rende particolarmente pericoloso per i professionisti del settore crypto.
Target e vettore sociale
Questa campagna è chiaramente un’operazione di spionaggio mirato: non un attacco di massa, ma una selezione di bersagli ad alto valore. I destinatari ideali sono professionisti tech e figure che lavorano nel mondo delle criptovalute che usano Mac durante i colloqui. L’aggressione si basa su profili recruiter falsi e inviti a colloqui tecnici che richiedono l’uso di hardware Apple e la possibile installazione di componenti. L’obiettivo è convincere la vittima, con l’urgenza e la formalità di un processo di selezione, a eseguire un file che altrimenti non avrebbe avviato.
Il fattore umano
Il fulcro dell’operazione è la manipolazione psicologica: email curate, account LinkedIn credibili e procedure che imitano quelle reali aumentano la probabilità che la vittima segua istruzioni.
Questo è un esempio classico di social engineering, dove il vettore d’attacco non sfrutta una falla software ma la fiducia professionale. Una regola pratica: un vero recruiter non chiederà mai di installare software non standard durante un colloquio. Se qualcosa si apre nel Script Editor con migliaia di righe, non è un aggiornamento, è una potenziale arma.
Risposta dei vendor e consigli operativi
La campagna è stata analizzata da Microsoft Threat Intelligence in collaborazione con Apple, che ha rafforzato controlli e mitigazioni su macOS e Safari. Microsoft ha aggiornato Defender per rilevare gli artefatti usati da Sapphire Sleet e ha condiviso query XDR per aiutare i team di sicurezza aziendale a individuare compromissioni. Queste azioni non eliminano il rischio umano, ma migliorano la rilevazione tecnica dei comportamenti sospetti e degli strumenti impiegati.
Buone pratiche e prevenzione
Per ridurre il rischio è fondamentale adottare precauzioni semplici ma efficaci: non installare software ricevuto durante un colloquio, verificare l’identità del recruiter attraverso canali indipendenti, evitare di fornire password quando appare una finestra imprevista e usare l’autenticazione a più fattori per account critici. Inoltre, mantenere aggiornati i sistemi, attivare soluzioni di protezione come Defender o equivalenti e monitorare eventuali esfiltrazioni di dati dal portachiavi o dai wallet contribuisce a ridurre l’impatto di un’intrusione.
In sintesi, questo caso mostra quanto sia potente l’abbinamento tra tecniche di ingegneria sociale e codice malevolo nascosto in artefatti apparentemente innocui: la difesa richiede attenzione alle richieste anomale durante i colloqui, strumenti di rilevazione aggiornati e una solida igiene digitale per proteggere password, chiavi e wallet.
