Uma versão mais recente do malware Atomic Stealer macOS tem um novo truque que permite contornar o Gatekeeper do sistema operacional, descobriram os pesquisadores da Malwarebytes.
Malware para Mac entregue por meio de anúncios do Google
O malware, que foi anunciado pela primeira vez em abril de 2023, é um ladrão de informações que pode capturar senhas de navegadores, chaveiros da Apple, arquivos, carteiras criptografadas e muito mais.
“Os criminosos que compram o kit de ferramentas o distribuem principalmente por meio de downloads de software crackeado, mas também se fazem passar por sites legítimos e usam anúncios em mecanismos de busca como o Google para atrair as vítimas”, diz o pesquisador da Malwarebytes, Jérôme Segura.
Na última campanha de entrega detectada pelo pesquisador, o malware se apresenta como o TradingView, uma plataforma e aplicativo popular para rastrear os mercados financeiros. As vítimas potenciais são redirecionadas por um anúncio malicioso para um site de phishing que imita a página dessa plataforma legítima.
A página tem três botões de download: o do Windows e do Linux aciona o download de um RAT do Discord, e o do macOS baixa o Atomic Stealer de um site de terceiros.
O ladrão do macOS baixado instrui os usuários sobre como abrir o arquivo. As vítimas não sabem disso, mas o processo de abertura visa contornar o Gatekeeper, recurso de segurança do macOS que impõe assinatura de código e verifica aplicativos baixados.
O arquivo baixado (TradingView.dmg) vem com instruções sobre como abri-lo. (Fonte: Malwarebytes)
“Ao contrário dos aplicativos normais, ele não precisa ser copiado para a pasta Apps do Mac, mas simplesmente montado e executado”, observou Segura.
“O malware é empacotado em um aplicativo assinado ad hoc, o que significa que não é um certificado da Apple, portanto não pode ser revogado. Uma vez executado, ele continuará solicitando a senha do usuário em um loop interminável até que as vítimas finalmente cedam e digitem-na.”
Por fim, o invasor começa a exfiltrar dados: senhas de navegadores ou chaves, preenchimentos automáticos, informações do usuário, carteiras criptografadas, arquivos e cookies.
O malware MacOS está se tornando mais popular
No último ano, os cibercriminosos aumentaram sua dependência dos anúncios da Pesquisa Google como forma de levar os usuários a sites de aparência legítima e induzi-los a baixar malware.
E à medida que mais consumidores e usuários corporativos passam a usar Macs, as máquinas da Apple se tornam um alvo cada vez mais atraente para atores mal-intencionados.
“Embora o malware para Mac realmente exista, ele tende a ser menos detectado do que seu equivalente no Windows. O desenvolvedor ou vendedor do Atomic Stealer realmente fez questão de vender que seu kit de ferramentas é capaz de escapar da detecção”, disse Segura.
Os usuários devem ter cuidado ao baixar aplicativos ou programas, especialmente ao pesquisá-los no Google. Devem ser descarregues apenas de sites oficiais ou fontes confiáveis (por exemplo, App Store).
Para ajudar os administradores a detectar e remediar atividades maliciosas em suas redes, o Malwarebytes também compartilhou indicadores de comprometimento (IoC).
FONTE: HELPNET SECURITY