O malware MacOS tem um novo truque na manga

Views: 246
0 0
Read Time:2 Minute, 36 Second

Uma versão mais recente do malware Atomic Stealer macOS tem um novo truque que permite contornar o Gatekeeper do sistema operacional, descobriram os pesquisadores da Malwarebytes.

Malware para Mac entregue por meio de anúncios do Google

O malware, que foi anunciado pela primeira vez em abril de 2023, é um ladrão de informações que pode capturar senhas de navegadores, chaveiros da Apple, arquivos, carteiras criptografadas e muito mais.

“Os criminosos que compram o kit de ferramentas o distribuem principalmente por meio de downloads de software crackeado, mas também se fazem passar por sites legítimos e usam anúncios em mecanismos de busca como o Google para atrair as vítimas”, diz o pesquisador da Malwarebytes, Jérôme Segura.

Na última campanha de entrega detectada pelo pesquisador, o malware se apresenta como o TradingView, uma plataforma e aplicativo popular para rastrear os mercados financeiros. As vítimas potenciais são redirecionadas por um anúncio malicioso para um site de phishing que imita a página dessa plataforma legítima.

A página tem três botões de download: o do Windows e do Linux aciona o download de um RAT do Discord, e o do macOS baixa o Atomic Stealer de um site de terceiros.

O ladrão do macOS baixado instrui os usuários sobre como abrir o arquivo. As vítimas não sabem disso, mas o processo de abertura visa contornar o Gatekeeper, recurso de segurança do macOS que impõe assinatura de código e verifica aplicativos baixados.

Malware MacOS ignora o Gatekeeper
O arquivo baixado (TradingView.dmg) vem com instruções sobre como abri-lo. (Fonte: Malwarebytes)

“Ao contrário dos aplicativos normais, ele não precisa ser copiado para a pasta Apps do Mac, mas simplesmente montado e executado”, observou Segura.

“O malware é empacotado em um aplicativo assinado ad hoc, o que significa que não é um certificado da Apple, portanto não pode ser revogado. Uma vez executado, ele continuará solicitando a senha do usuário em um loop interminável até que as vítimas finalmente cedam e digitem-na.”

Por fim, o invasor começa a exfiltrar dados: senhas de navegadores ou chaves, preenchimentos automáticos, informações do usuário, carteiras criptografadas, arquivos e cookies.

O malware MacOS está se tornando mais popular

No último ano, os cibercriminosos aumentaram sua dependência dos anúncios da Pesquisa Google como forma de levar os usuários a sites de aparência legítima e induzi-los a baixar malware.

E à medida que mais consumidores e usuários corporativos passam a usar Macs, as máquinas da Apple se tornam um alvo cada vez mais atraente para atores mal-intencionados.

“Embora o malware para Mac realmente exista, ele tende a ser menos detectado do que seu equivalente no Windows. O desenvolvedor ou vendedor do Atomic Stealer realmente fez questão de vender que seu kit de ferramentas é capaz de escapar da detecção”, disse Segura.

Os usuários devem ter cuidado ao baixar aplicativos ou programas, especialmente ao pesquisá-los no Google. Devem ser descarregues apenas de sites oficiais ou fontes confiáveis ​​(por exemplo, App Store).

Para ajudar os administradores a detectar e remediar atividades maliciosas em suas redes, o Malwarebytes também compartilhou indicadores de comprometimento (IoC).

FONTE: HELPNET SECURITY

POSTS RELACIONADOS