Infostealer evolve e prende di mira macOS e conversazioni WhatsApp

Ascesa degli infostealer su macOS e Windows

Gli infostealer colpiscono soprattutto Windows, ma i ricercatori di Microsoft segnalano una crescita rapida degli attacchi contro macOS, spinti da tecniche di ingegneria sociale sempre più raffinate e da campagne multipiattaforma.

Nuove campagne di malvertising contro macOS

Le campagne analizzate da Microsoft partono spesso da ricerche online con link sponsorizzati falsi. Gli utenti Mac vengono indirizzati verso siti che imitano software legittimi e invitano a scaricare app manomesse o a eseguire comandi nel terminale tramite tecnica ClickFix. Questi comandi aggirano le difese di macOS, disattivano avvisi di sicurezza e installano in silenzio infostealer. Il bersaglio sono soprattutto professionisti, sviluppatori e utenti aziendali, con l’obiettivo di ottenere accesso ai loro account cloud, repository di codice e strumenti di collaborazione. La distribuzione tramite annunci sponsorizzati rende difficile distinguere i link malevoli dai risultati genuini, aumentando il tasso di successo degli attacchi e la superficie d’esposizione globale.

Per ridurre il rischio è essenziale evitare download da banner pubblicitari, verificare sempre i domini ufficiali e non eseguire comandi suggeriti da pagine web o tutorial non verificati.

DigitStealer, MacSync e Atomic Stealer nel mirino

DigitStealer, MacSync e Atomic Stealer rappresentano oggi il nucleo degli infostealer più diffusi su macOS. Una volta installati, mappano i browser più usati, estraggono password salvate, cookie di sessione e token di autenticazione per accedere a servizi bancari, email, social media e piattaforme cloud. Raccolgono anche dati sui wallet di criptovalute e file con chiavi API, spesso presenti in progetti di sviluppo. Le informazioni vengono compresse ed esfiltrate verso server controllati dai cybercriminali. Questo consente furti finanziari diretti, compromissione di account aziendali e violazioni di codice sorgente o infrastrutture cloud, con impatti rilevanti su continuità operativa e reputazione.

La natura multipiattaforma di questi infostealer rende fondamentale adottare criteri di sicurezza coerenti tra dispositivi personali e aziendali, evitando password riutilizzate e memorizzate in chiaro sui browser.

Infostealer in Python e nuove catene di attacco

Gli esperti di Microsoft osservano un aumento di infostealer scritti in Python, scelto per la rapidità di sviluppo e la facilità di adattamento a Windows, macOS e Linux, con moduli personalizzabili in base al target.

PXA Stealer e esfiltrazione tramite Telegram

PXA Stealer è un infostealer in Python distribuito prevalentemente via email di phishing. Gli allegati contengono script o archivi che, una volta aperti, eseguono il codice malevolo e impostano meccanismi di persistenza all’avvio. Il malware raccoglie credenziali di login, cronologia e dati salvati nei browser, oltre a informazioni finanziarie e file sensibili nelle cartelle più comuni. L’esfiltrazione avviene tramite Telegram, sfruttando bot e canali cifrati per inviare i dati ai criminali. Questa tecnica aggira spesso i sistemi di monitoraggio del traffico tradizionali, perché il traffico verso Telegram è considerato legittimo. La modularità permette di aggiornare velocemente il codice, aggiungendo nuovi moduli senza ridistribuire l’intero malware.

Per difendersi è necessario combinare filtri antiphishing, blocco degli eseguibili non firmati, monitoraggio degli script Python e controllo delle connessioni a servizi di messaggistica in contesti aziendali.

Persistenza, movimento laterale e impatto aziendale

Gli infostealer moderni, incluso PXA Stealer, non si limitano a rubare password ma puntano al movimento laterale nelle reti aziendali. Una volta ottenute credenziali, tentano l’accesso a VPN, posta aziendale, piattaforme di collaborazione e console di amministrazione cloud. La persistenza viene mantenuta tramite chiavi di registro, attività pianificate o script di avvio su Windows e macOS. Gli attaccanti possono così installare ulteriori payload, come ransomware o backdoor remote, trasformando un singolo endpoint compromesso in punto d’ingresso per l’intera infrastruttura. L’uso di linguaggi ad alto livello consente aggiornamenti frequenti per eludere le firme antivirus tradizionali.

Le aziende devono implementare autenticazione a più fattori, gestione centralizzata delle patch, segmentazione di rete e monitoraggio dei privilegi, riducendo l’impatto di credenziali sottratte e limitando la possibilità di escalation.

Sfruttamento di WhatsApp e installer infetti

I cybercriminali estendono le campagne agli strumenti di messaggistica, usando WhatsApp desktop e installer MSI per diffondere infostealer come Eternidade Stealer e script automatizzati in PowerShell e Python.

Abuso di WhatsApp Desktop e automazione degli attacchi

Sulle macchine Windows, gli aggressori sfruttano WhatsApp desktop come vettore di propagazione. Tramite comandi PowerShell scaricano uno o più malware, incluso uno script Python che si collega a un server remoto. Quest’ultimo usa WPPConnect per automatizzare l’invio di messaggi dagli account WhatsApp compromessi. Il malware raccoglie la rubrica della vittima e spedisce allegati infetti a tutti i contatti, aumentando l’efficacia dell’ingegneria sociale grazie alla fiducia preesistente. Ogni nuovo destinatario può diventare a sua volta nodo di diffusione, creando una catena virale difficile da bloccare rapidamente.

Per mitigare il rischio è fondamentale diffidare di file inattesi anche se inviati da contatti fidati, verificare fuori banda l’autenticità dei messaggi sospetti e controllare periodicamente le sessioni attive di WhatsApp web e desktop.

Eternidade Stealer e difese consigliate da Microsoft

Un ulteriore vettore è rappresentato da installer MSI che distribuiscono Eternidade Stealer. Questo malware prende di mira credenziali di home banking, servizi di pagamento digitale e piattaforme di exchange di criptovalute. Analizza browser, file di configurazione e applicazioni dedicate alle finanze, cercando accessi salvati e token. Le linee guida di Microsoft includono l’uso di soluzioni EDR, restrizioni sui macro-script, blocco di esecuzione da cartelle temporanee, privilegi minimi per gli utenti e formazione continua sul riconoscimento del phishing. Viene raccomandato l’uso di gestori di password con crittografia forte, l’autenticazione a più fattori per ogni servizio sensibile e la separazione tra profili personali e aziendali.

Le organizzazioni dovrebbero inoltre testare periodicamente i piani di risposta agli incidenti, per reagire con rapidità al primo segnale di furto credenziali o attività anomale sui sistemi di pagamento e sugli account di criptovalute.

FAQ

Cosa sono gli infostealer e cosa rubano

Gli infostealer sono malware specializzati nel furto di dati. Raccolgono credenziali da browser, cookie, token di sessione, dati finanziari, informazioni sui wallet di criptovalute, file sensibili e chiavi API legate a servizi cloud e sviluppo software.

Perché macOS è sempre più preso di mira

La diffusione di macOS nel mondo professionale rende la piattaforma più interessante economicamente. Gli attaccanti sfruttano malvertising, ingegneria sociale e tecniche come ClickFix per aggirare le difese integrate e ottenere accesso ad account cloud e risorse aziendali.

In che modo WhatsApp viene sfruttato dagli attaccanti

Su Windows, versioni desktop di WhatsApp vengono usate per automatizzare campagne di malware. Script in PowerShell e Python, combinati con WPPConnect, inviano allegati infetti a tutti i contatti di un account compromesso, ampliando la diffusione.

Quali misure riducono il rischio di infostealer

Le difese chiave includono autenticazione a più fattori, aggiornamenti costanti di sistema, soluzioni EDR, filtri antiphishing, blocco degli script non autorizzati e policy di privilegi minimi. È essenziale evitare download da annunci sponsorizzati e verificare sempre la provenienza dei file.

Come proteggere wallet e account bancari

Occorre usare hardware wallet quando possibile, abilitare MFA su home banking ed exchange, non salvare credenziali nei browser, conservare le seed phrase offline e monitorare costantemente movimenti sospetti, intervenendo subito in caso di accessi anomali rilevati.

Qual è la fonte principale delle informazioni descritte

Le evidenze e gli esempi tecnici riportati derivano dalle analisi dei ricercatori di Microsoft, che hanno documentato campagne di infostealer multipiattaforma, incluso l’uso di malvertising, WhatsApp desktop e varianti in Python come PXA Stealer ed Eternidade Stealer.

Redazione Assodigitale

La Redazione di Assodigitale Phd, MBA, CPA

About the Author Latest Posts

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.

• Azulene ingrediente chiave skincare delicata nella K-beauty: benefici, usi consigliati e profili adatti 23 Maggio 2026
• Ascolti tv Stefano De Martino sfida Gerry Scotti e guida la serata 23 Maggio 2026
• Francesca Manzini esclude L’Isola dei Famosi anche per soldi 23 Maggio 2026
• Jhonatan Mujica da L’Isola al GF Vip tra amori e rivelazioni 23 Maggio 2026
• Gianmarco Zagato e Nicole Pallado smascherano i veterani dei reality 23 Maggio 2026

redazione@assodigitale.it

Facebook Twitter LinkedIn Instagram YouTube

Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

1. Expert Review: All articles are reviewed by subject matter experts.
2. Source Validation: Information is backed by credible, up-to-date sources.
3. Transparency: We clearly cite references and disclose potential conflicts.

Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

• Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
• Up-to-date Insights: We incorporate the latest research, trends, and standards.
• Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.