Un colloquio tecnico fissato via Zoom, un recruiter apparentemente affidabile e una richiesta che sembra innocua: installare un aggiornamento dello Zoom SDK. È così che una nuova campagna malware è riuscita a colpire utenti Mac, sfruttando non una falla software, ma la fiducia e la fretta del momento.
Secondo Microsoft Threat Intelligence, in collaborazione con Apple, dietro l’operazione ci sarebbe il gruppo Sapphire Sleet, associato alla Corea del Nord. L’obiettivo non è stato quello di diffondere un’infezione di massa, ma di prendere di mira profili selezionati, con particolare interesse per professionisti tech e del settore crypto.
Malware su Mac con falso aggiornamento Zoom
Il cuore dell’attacco è un file AppleScript (.scpt) chiamato “Zoom SDK Update”, presentato come un normale aggiornamento. In realtà, il documento si apre nel Script Editor di macOS e nasconde il codice malevolo in fondo a migliaia di righe apparentemente innocue. Chi lo avvia durante un colloquio ha poche possibilità di accorgersi dell’inganno in tempo.
Una volta eseguito, lo script scarica altri componenti usando meccanismi legittimi del sistema e monitora l’andamento della campagna con specifiche stringhe user-agent. Poi mostra una finestra “System Update” che chiede la password di sistema con la scusa di configurare alcune impostazioni. L’interfaccia sfrutta elementi nativi di macOS ed è progettata per sembrare credibile a colpo d’occhio.
Se la vittima inserisce la password, questa viene verificata contro il database locale e inviata subito agli aggressori tramite l’API di Telegram Bot. Subito dopo compare anche una finta schermata “Software Update”, costruita per far credere che l’aggiornamento Zoom sia andato a buon fine e ridurre i sospetti.
Obiettivo: rubare dati e mantenere l’accesso
Il furto della password è solo il primo passaggio. La campagna installa infatti più backdoor per garantire persistenza sul Mac compromesso e per raccogliere una quantità molto ampia di informazioni: dettagli di sistema, app installate, dati delle sessioni Telegram, browser ed estensioni, portachiavi macOS, wallet di criptovaluta desktop, chiavi SSH, cronologia della shell, Apple Notes, log di sistema e persino i tentativi di accesso falliti.
Il quadro che emerge è quello di una vera operazione di spionaggio mirato. Non si tratta di un malware generico distribuito a caso, ma di una catena di compromissione costruita per colpire persone che potrebbero avere accesso a credenziali, infrastrutture aziendali o asset digitali di valore. Il requisito di usare un Mac durante il colloquio non è casuale: è parte della trappola.
Come difendersi da questi attacchi
La risposta di Apple e Microsoft è arrivata con un rafforzamento delle difese su macOS e Safari, oltre a nuovi aggiornamenti di Defender e a query XDR condivise con i team di sicurezza aziendale. Ma la protezione più importante resta l’attenzione dell’utente: nessun colloquio legittimo dovrebbe richiedere l’installazione di file non standard o l’apertura di script sospetti.
Se durante una selezione vi viene chiesto di scaricare un aggiornamento, soprattutto se il file si apre nel Script Editor o presenta una struttura insolita, è meglio interrompere subito. In questi casi, ciò che sembra un semplice passaggio tecnico può trasformarsi in un attacco molto sofisticato, progettato per sembrare ordinario fino all’ultimo secondo.
