Per anni molti utenti hanno pensato che i computer Apple fossero quasi immuni da virus e malware, ma una nuova ondata di attacchi informatici dimostra che anche macOS può diventare un bersaglio sorprendentemente vulnerabile.
Negli ultimi mesi i ricercatori di Sophos X-Ops hanno individuato una serie di campagne di attacco che hanno preso di mira proprio i MacBook e più in generale i computer Apple. Il protagonista di queste operazioni è un malware chiamato MacSync infostealer, un programma progettato per rubare dati sensibili senza farsi notare.
Il suo comportamento ricorda quello di un borseggiatore digitale. Una volta entrato nel sistema, il malware può cercare password salvate, credenziali di accesso, portafogli digitali e altri dati personali conservati nel computer.
Come funziona il nuovo attacco ai Mac
Le indagini di Sophos hanno individuato tre campagne attive tra novembre 2025 e febbraio 2026. Tutte utilizzavano una tecnica chiamata ClickFix, che sfrutta un meccanismo sorprendentemente semplice.
In pratica non serve alcuna competenza tecnica avanzata da parte degli aggressori. Il sistema si basa soprattutto sull’errore umano.
La vittima viene convinta a copiare e incollare una riga di comando nel Terminale macOS, lo strumento che permette di eseguire istruzioni testuali sul computer. Basta premere invio e il malware può iniziare a lavorare in silenzio.
Il problema è che queste istruzioni vengono presentate come passaggi normali durante l’installazione di un software o come parte di una guida tecnica.
Falsi download e trappole legate a ChatGPT
Il primo metodo individuato dai ricercatori sfruttava falsi siti di download che imitavano le pagine ufficiali di OpenAI. Queste pagine venivano pubblicizzate tramite annunci sponsorizzati su Google, spesso posizionati sopra il risultato autentico nei motori di ricerca.
Chi cercava ChatGPT poteva quindi finire su una pagina trappola senza accorgersene.
Successivamente gli attaccanti hanno cambiato strategia. Alcuni contenuti circolavano come conversazioni condivise di ChatGPT che promettevano guide utili per configurare o migliorare il proprio Mac.
Le guide rimandavano a pagine ospitate su GitHub che sembravano perfettamente credibili. Le istruzioni spiegavano come installare un software, ma tra i passaggi veniva chiesto di incollare una stringa nel Terminale.
Quella riga di testo era in realtà il punto di ingresso per il malware.
Quanto è diffusa la minaccia
Secondo i dati raccolti da Sophos, entro dicembre 2025 questi siti malevoli avevano già generato oltre 50.000 clic. Ogni clic indica che qualcuno ha copiato il comando dannoso, anche se non significa automaticamente che l’infezione sia riuscita.
Gli sviluppatori del malware hanno poi aggiornato la tecnica nel febbraio 2026, rendendo il programma ancora più discreto. Alcune versioni riescono a funzionare in background aggirando sistemi di sicurezza integrati in macOS come Gatekeeper e XProtect.
Tra i dati più delicati che possono essere intercettati ci sono anche le chiavi di accesso ai wallet di criptovalute, inclusa la cosiddetta frase di recupero composta da 24 parole.
Le attività sospette sono state individuate in diverse aree del mondo, tra cui parti del Nord America, del Sud America e dell’India, segno che la campagna non riguarda una singola regione.
Il mito del Mac invulnerabile
Per molto tempo l’idea diffusa è stata che i Mac fossero più sicuri semplicemente perché meno diffusi dei PC Windows. In parte questo ha ridotto l’interesse dei criminali informatici.
Oggi però la situazione è diversa. La crescita degli utenti Apple e la fiducia che molte persone ripongono nelle piattaforme digitali stanno creando nuove opportunità per chi cerca di sfruttare errori e distrazioni.
Le piattaforme basate su intelligenza artificiale e chatbot stanno diventando un terreno fertile per questi inganni, perché milioni di persone si fidano delle istruzioni che leggono online.
La realtà è che nessun sistema è completamente al riparo dagli attacchi. E a volte basta davvero una sola riga incollata nel Terminale per aprire la porta giusta.
