Gli utenti Mac si sono sempre cullati nell’illusione di vivere in un ecosistema digitale sicuro, protetto da un’aura di esclusività e invulnerabilità. Quella percezione è ormai un mito. Il nuovo protagonista della scena del cybercrimine, Atomic Stealer, meglio conosciuto come Amos Stealer, sta dimostrando che anche il mondo patinato di macOS è terreno fertile per chi ha fame di credenziali, cookie e portafogli di criptovalute. Il colpo di scena? Finti annunci pubblicitari che imitano LastPass e indirizzano ignari utenti verso download infetti.
Il meccanismo è tanto semplice quanto efficace. Chi cerca LastPass su Google o Bing può imbattersi in annunci sponsorizzati che sembrano legittimi. Clicchi, arrivi su GitHub, trovi un pacchetto che pare la versione macOS del noto password manager. Solo che non stai scaricando un’app per proteggere le tue password, stai aprendo la porta di casa a un ladro digitale che non si limita a rubare le chiavi, ma svuota direttamente la cassaforte. GitHub ha già fatto piazza pulita di queste pagine fraudolente, ma il problema non è la singola campagna: è il modello che si sta affermando.
Atomic Stealer non si accontenta di raccogliere qualche informazione sparsa. È progettato con precisione chirurgica per aspirare password salvate nei browser, cookie di sessione, credenziali conservate nel portachiavi di macOS e persino dati sensibili collegati ad autofill. Non pago, punta dritto anche ai portafogli di criptovalute, dove un singolo colpo può valere più di qualsiasi truffa tradizionale. Non è un malware amatoriale, è un’arma industriale, confezionata per scalare e monetizzare.
LastPass ha confermato che il suo marchio è stato clonato senza pietà, ma non è il solo. Decine di altri servizi sono nel mirino degli stessi criminali. Chi crede ancora che il problema riguardi solo Windows o gli utenti poco attenti farebbe bene a guardarsi intorno. Gli attaccanti hanno scoperto l’arte della “SEO poisoning”, manipolando i motori di ricerca e gli spazi pubblicitari online per apparire proprio dove gli utenti digitano le loro richieste più banali. È un gioco di fiducia rovesciata: ciò che appare in cima alle ricerche non è più garanzia di sicurezza, ma potenziale trappola.
Le aziende sanno bene che il password manager è un nodo critico nella catena della sicurezza. Se compromesso, diventa la porta di accesso a intere infrastrutture aziendali. Il fatto che proprio LastPass sia stato sfruttato come esca rende la vicenda doppiamente simbolica. Non solo perché il brand è stato al centro di polemiche e incidenti negli ultimi anni, ma perché dimostra quanto gli attaccanti siano capaci di sfruttare la percezione di affidabilità di un marchio. Non attaccano i punti deboli, attaccano i punti forti, ribaltando le certezze.
Dal canto suo, LastPass ha pubblicato un avviso ufficiale, con tanto di Indicatori di Compromissione per aiutare i team di sicurezza a individuare i sistemi infettati. È la solita rincorsa, la partita del gatto e del topo che non finisce mai. Mentre si pubblicano blog post, gli attaccanti aprono nuove pagine, acquistano nuovi spazi pubblicitari, clonano altri servizi. L’economia sotterranea funziona come una startup: rapida, iterativa, spietata.
La domanda cruciale è se l’ecosistema Apple sia pronto ad affrontare questa nuova fase del cybercrimine. Gli utenti Mac, storicamente meno abituati a temere virus e malware, sono i bersagli perfetti: un mix di fiducia cieca, minore consapevolezza del rischio e, spesso, un profilo economico più interessante per gli attaccanti. La vecchia narrativa del Mac sicuro per definizione sta crollando, e con essa cade anche la pigrizia di chi installa app senza pensarci troppo.
Il punto non è solo scaricare software dai canali ufficiali, ma comprendere che le superfici di attacco oggi sono diverse. Browser, password manager ed endpoint sono le vere casseforti del digitale contemporaneo. Colpirli significa bypassare le mura esterne e arrivare direttamente al cuore del sistema. Atomic Stealer incarna perfettamente questa logica, e la sua diffusione attraverso annunci e SEO spiega perché il problema non è episodico ma strutturale.
Si potrebbe dire che gli utenti Mac stiano vivendo la loro prima vera età dell’innocenza infranta. Non è più questione di mode o di preferenze estetiche tra un sistema operativo e l’altro. È in gioco la percezione stessa della sicurezza digitale, e quella percezione si sta sgretolando a colpi di download malevoli mascherati da app legittime. Gli hacker hanno capito che il futuro non è nell’hacking tecnico puro, ma nell’hacking della fiducia, sfruttando la psicologia di chi crede ancora che il Mac sia immune.
Il paradosso più gustoso è che proprio chi cerca di proteggere le proprie credenziali finisce col regalarle su un piatto d’argento. È la rappresentazione perfetta del cybercrimine come specchio della società: non importa quanto sia sofisticata la tecnologia, basta un annuncio pubblicitario ben piazzato per convincere migliaia di utenti che il lupo è in realtà un agnello. Forse la vera lezione di Atomic Stealer non riguarda tanto il malware, quanto la fragilità del nostro rapporto con i brand e con la presunta autorità dei motori di ricerca.