Un CAPTCHA falso ruba criptovalute agli utenti macOS

Gli utenti di criptovalute si trovano ad affrontare una nuova minaccia alla sicurezza tramite false pagine CAPTCHA di Cloudflare. L'attacco porta all'installazione di un nuovo infostealer chiamato Infiniti Stealer, progettato per sottrarre dati dai portafogli di criptovalute ai sistemi macOS. 

Ciò significa che qualsiasi sviluppatore o utente di criptovalute che possieda un MacBook o un computer desktop Mac rischia di essere infettato da questo malware.

L'attacco ClickFix avvia un'infezione del sistema macOS

I ricercatori di sicurezza di Malwarebytes hanno scoperto questa campagna. Il pannello di controllo del malware è stato successivamente esposto, rivelandone il nome: Infinite Stealer.

Il malware per il furto di informazioni viene diffuso tramite un attacco ClickFix. Un attacco ClickFix è classificato come un attacco di ingegneria sociale. Induce gli utenti a eseguire autonomamente un comando dannoso. Invece di violare direttamente il computer, li convince a farlo al posto loro.

L'attacco inizia con una falsa pagina CAPTCHA proveniente da update-check[.]com. La pagina sembra una pagina di verifica umana di Cloudflare, ma non lo è. Dopo aver cliccato sul falso CAPTCHA, all'utente viene chiesto di aprire il Terminale e incollare un comando.

Il comando non è una verifica. Si tratta di uno script di installazione nascosto che scarica ed esegue il malware sul computer dell'utente.

L'attacco funziona perché l'utente esegue il comando. Elude le difese tradizionali poiché non sfrutta alcuna vulnerabilità.

Una volta eseguito il comando, si connette a un server remoto controllato dall'attaccante che scarica Infiniti Stealer e lo installa silenziosamente sul Mac. Nessun pop-up, nessun avviso, solo un'installazione silenziosa.

Secondo i ricercatori nel campo della sicurezza, è difficile analizzare e rilevare questo malware perché è compilato in un eseguibile nativo di macOS. Non si tratta di un semplice script Python facilmente leggibile e comprensibile.

Il malware è progettato per rubare dati sensibili dai Mac, inclusi i dati dei portafogli di criptovalute, ledentdei browser e del Portachiavi macOS, i segreti in chiaro presenti nei file di sviluppo e persino gli screenshot acquisiti durante l'esecuzione.

Il sistema verifica inoltre se è in esecuzione in un ambiente di analisi per evitare di essere rilevato e invia i dati rubati al server dell'attaccante. Al terminetracdei dati, l'attaccante riceve notifiche tramite Telegram e ledentacquisite vengono messe in coda per il cracking delle password lato server.

Gli attacchi ClickFix sono comuni su Windows, ma ora gli hacker li stanno adattando anche ai computer Apple. I sistemi macOS non sono più considerati immuni dai malware. Gli utenti di criptovalute dovrebbero prestare attenzione quando navigano sul web e non dovrebbero mai incollare comandi nel Terminale provenienti da fonti non attendibili.

Aumentano vertiginosamente le violazioni dei portafogli personali di criptovalute

Questo non è il primo attacco sofisticato che prende di mira gli utenti di criptovalute su macOS. Cryptopolitan ha segnalato GhostClaw, un nuovo malware per macOS che ruba chiavi private, accesso ai portafogli e altri dati sensibili.

Il malware è presente su npm, un popolare gestore di pacchetti per JavaScript. Si spacciava per un vero strumento OpenClaw, ma in realtà eseguiva un attacco a più fasi. Un totale di 178 sviluppatori ha scaricato il pacchetto dannoso prima che venisse rimosso dal registro.

Nel 2025, al settore delle criptovalute sono stati sottratti complessivamente 3,4 miliardi di dollari.

Secondo un rapporto della società di sicurezza blockchain Chainalysis,

Se non fosse stato per l'impatto sproporzionato dell'attacco a Bybit, l'entità degli attacchi hacker ai portafogli digitali personali avrebbe raggiunto il 37% nel 2025.