Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Poseidon, il Dio dei Malware! MacOS Affonda nel Malvertising

Raffaela Crisci : 1 Luglio 2024 11:55

Negli ultimi mesi, gli utenti Mac sono stati bersaglio di una nuova ondata di attacchi informatici tramite campagne di malvertising. L’ultima minaccia, soprannominata “Poseidon” dal suo creatore, è stata rilevata il 24 giugno e sfrutta annunci Google dannosi per diffondere un malware che ruba informazioni personali. Secondo un recente rapporto di Malwarebytes Lab, questa campagna rappresenta la seconda volta in due mesi in cui il browser Arc viene utilizzato come esca, sottolineando la sua crescente popolarità.

Dettagli della Violazione

Poseidon è un malware per macOS in fase di sviluppo attivo, progettato per competere con il noto Atomic Stealer (AMOS). Questo malware condivide molte delle stesse funzionalità di AMOS, come il furto di file, portafogli crittografici e password da gestori come Bitwarden e KeePassXC. Inizialmente identificato come OSX.RodStealer da Malwarebytes, il malware è stato rinominato dal suo autore, Rodrigo4, e migliorato con nuove capacità, tra cui la sottrazione delle configurazioni VPN.

Rodrigo4 ha creato un servizio di malware comprensivo di un pannello di controllo con statistiche e un builder personalizzabile, che permette di configurare il malware con nome, icona e AppleScript specifici. Poseidon offre una gamma di funzionalità avanzate che lo rendono una minaccia significativa: cattura di file, estrazione di portafogli crittografici, furto di password e raccolta di dati del browser. Nei post sui forum criminali, Poseidon è presentato come un concorrente diretto di Atomic Stealer, con cui condivide gran parte del codice sorgente.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La campagna di malvertising che distribuisce Poseidon sfrutta annunci pubblicitari su Google per indirizzare gli utenti verso siti di download falsi, come arc-download[.]com, che imitano il sito ufficiale del browser Arc. 

    Pagina raggiungibile dall’URL arc-download[.]com

    Gli utenti, ingannati dall’apparenza legittima del sito, scaricano un file DMG dannoso. Per aggirare le protezioni di sicurezza di macOS, il file richiede di eseguire un clic con il pulsante destro del mouse per l’installazione anziché il tradizionale doppio clic.

    Una volta installato, Poseidon inizia a inviare dati sensibili a un server remoto, con rapporti che indicano l’invio a un indirizzo IP noto: 79.137.192.4. Questo indirizzo ospita il pannello di controllo di Poseidon, dove i dati rubati possono essere gestiti e sfruttati dai cybercriminali.

    Pagina raggiungibile all’indirizzo IP 79.137.192.4

    Dashboard di Poseidon

    Risultato ricerca per l’indirizzo IP 79.137.192.4 utilizzando Virus Total

    Dettagli per l’indirizzo IP 79.137.192.4 ottenuti dalla sezione  “Community” di Virus Total

    Osservazioni sulla sicurezza

    La scoperta di Poseidon, successiva a una precedente campagna che ha distribuito una versione falsa di Arc per Windows, mette in luce un aumento della sofisticazione delle minacce informatiche. Questo malware è progettato per rubare informazioni sensibili e rappresenta una seria minaccia per gli utenti Mac. 

    Recenti sviluppi hanno evidenziato che Poseidon non è la prima minaccia per il mondo Apple, c’è un interesse crescente da parte del ransomware LockBit verso dispositivi macOS basati su architettura ARM, come Apple M1 e M2. Questa evoluzione ha sollevato preoccupazioni sulla sicurezza degli endpoint macOS, anche se attualmente i campioni scoperti sono ancora in fase di sviluppo e presentano alcune incompletezze, come la mancanza di firma del campione macOS e un semplice metodo di crittografia delle stringhe. Se rilasciate, queste varianti potrebbero permettere a LockBit di mantenere la sua rilevanza in un mercato RaaS altamente competitivo.

    Questo scenario dimostra che gli attacchi informatici stiano effettivamente diversificando i loro obiettivi, sottolineando l’importanza cruciale di adottare misure di sicurezza informatica aggiornate e di rimanere vigili per tutti i sistemi operativi.

    Conclusioni

    Questo tipo di attacco dimostra come i criminali informatici sfruttano la crescente popolarità di nuovi software per diffondere malware e trarre in inganno gli utenti. Nonostante gli sforzi di Google per proteggere la sua piattaforma pubblicitaria, i malintenzionati continuano a orchestrare campagne ingannevoli. Malwarebytes raccomanda vivamente l’uso di strumenti di blocco pubblicitario, protezioni web avanzate e una continua prudenza durante il download e l’installazione di nuove applicazioni, al fine di mitigare il rischio di compromissione della sicurezza.

    IoC’s

    186.2.171.60
    agov-ch[.]com
    agov-access[.]net
    agov-access[.]com
    register-agov[.]com
    agov-ch[.]net
    bb8911f632a4547802a8dbb40268e1bd
    • 186.2.171.60

    Dettagli IoC ottenuti utilizzando Virus Total

    Dettagli ottenuti dalla sezione  “Community” di Virus Total

    Dettagli collection “Poseidon” ottenuti da Virus Total

    • agov-ch[.]com

    Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

    Pagina raggiungibile dall’URL “agov-ch.com”

    • agov-access[.]net

    Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

    • agov-access[.]com

    Dettagli ottenuti utilizzando Virus Total (stessi dettagli visti precedentemente)

    • register-agov[.]com

    Dettagli ottenuti utilizzando Virus Total 

    • agov-ch[.]net

    Dettagli ottenuti utilizzando Virus Total 

    • MD5: bb8911f632a4547802a8dbb40268e1bd

    Dettagli ottenuti utilizzando Virus Total 

    Dettagli ottenuti dalla sezione “Relation” di Virus Total

    Raffaela Crisci
    Membro del gruppo di Red Hot Cyber Dark Lab. Ingegnere informatico laureata con lode presso l'Università degli Studi del Sannio, con specializzazione in Cyber Security. Esperta in Cyber Threat Intelligence con esperienza in una multinazionale leader del settore. Forte disciplina e capacità organizzative sviluppate attraverso lo sport

    Lista degli articoli

    Articoli in evidenza

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006