Nota do editor: Este artigo foi atualizado em 23 de agosto de 2023, com uma declaração da Apple.
Uma nova variante do infostealer XLoader voltada para Mac se espalhou amplamente no mês passado, sinalizando uma mudança na capacidade dos hackers de atingir efetivamente ambientes macOS.
De meados ao final de julho, o arquivo “OfficeNote.dmg” foi carregado no VirusTotal nove vezes, de países tão distantes quanto os EUA, Índia, Espanha, Cingapura e Filipinas. O arquivo de imagem de disco com nome inócuo era na verdade uma versão atualizada do infostealer XLoader, especialmente projetado para roubar credenciais de usuários de Mac.
Ultimamente, os hackers têm convertido cada vez mais malware do Windows para uso em ambientes macOS , mas o mais novo XLoader é muito mais do que apenas um derivado desajeitado.
“No passado”, diz Phil Stokes, pesquisador de ameaças da SentinelOne, “era muito comum ver malware multiplataforma que era uma porta de um malware do Windows, mas não era muito eficaz. como desenvolver para Mac, certo? Bem, acho que esse tempo já passou.
O novo XLoader para Macs
O primeiro XLoader desenvolvido para ambientes Mac foi descoberto há dois anos, quase no mesmo dia. Era um programa Java, que provou ser o seu calcanhar de Aquiles. O Java Runtime Environment não é um elemento padrão do macOS desde o Snow Leopard, o que significa que o XLoader só poderia funcionar em hosts que baixaram o Java por um motivo ou outro.
O novo XLoader não tem essa falha – ele é escrito nativamente em C e Objective C. Ele é empacotado em um arquivo de aplicativo com o nome legítimo “Office Note”, o logotipo do macOS Microsoft Word e uma assinatura de desenvolvedor da Apple. Desde então, a Apple revogou a assinatura, mas “isso não fará muita diferença”, diz Stokes.
“Tudo o que isso significa é que os desenvolvedores terão que mudar para outra assinatura. As assinaturas dos desenvolvedores são compradas e vendidas na Dark Net, ou são falsas. Elas podem até assinar ad hoc, o que significa que na verdade não tem um assinatura do desenvolvedor, mas ainda assim passará pela detecção do gatekeeper da Apple.”
Em uma declaração fornecida à Dark Reading após esta postagem, a Apple disse que o Gatekeeper na verdade exige mais do que uma assinatura do desenvolvedor. Também deve ser autenticado pela Apple, disse um porta-voz da empresa, apontando para esta declaração na página de suporte do Gatekeeper :
“O Gatekeeper verifica se o software é de um desenvolvedor identificado, é autenticado pela Apple como livre de conteúdo malicioso conhecido e não foi alterado.”
Stokes, do SentinelOne, explica que quando o arquivo for executado, ele apresentará ao usuário uma mensagem de erro, ao mesmo tempo que instala sua carga útil e um mecanismo de persistência em segundo plano da máquina.
Uma vez instalado, o XLoader tentará roubar as credenciais salvas no Firefox e no Chrome, bem como a área de transferência do usuário.
Notavelmente, no momento da publicação do SentinelOne, a ferramenta antimalware XProtect da Apple não tinha uma assinatura para detectar e bloquear OfficeNote.dmg.
A nova cara do malware para Mac
Como os MacBooks têm sido historicamente comercializados para indivíduos e não para a indústria ou grandes empresas, eles tendem a ser de menor interesse para os cibercriminosos. “Cinco anos atrás, não havia muitas pessoas que tivessem Macs na empresa. Agora os desenvolvedores os amam, o alto escalão os adora e, portanto, são grandes alvos.
Os agentes de ameaças começaram a experimentar malware para Mac , reformulando de forma desigual o malware existente para Windows. Na melhor das hipóteses, eles escreveriam novos malwares em linguagens amigáveis para ambos os sistemas operacionais, como Golang ou Rust. “São linguagens muito fáceis de aprender e poderosas. Agora é muito mais fácil escrever software muito bom para diferentes plataformas que funcione imediatamente”, diz Stokes.
Agora, acrescenta ele, equipes inteiras de crimes cibernéticos estão dedicadas ao desenvolvimento do Mac. Os resultados estão dando frutos na forma deste novo XLoader, mas também de programas como Atomic Stealer , MacStealer e PureLand .
O problema com a segurança da Apple
Mas para Stokes, não se trata apenas de existirem malwares bons para MacBooks.
“O problema é que a Apple tem esse tipo de atitude em relação ao malware, onde eles levam isso a sério, mas querem que tudo fique invisível para o usuário”, explica. O compromisso dogmático da empresa com uma experiência de usuário contínua e de baixo esforço, que a levou até agora com os consumidores no passado, pode não ser o que é exigido no mundo da segurança empresarial.
“Se você possui uma máquina Windows, você tem uma grande página de configurações do Microsoft Defender com a qual pode brincar e executar suas próprias verificações”, explica ele. “A abordagem da Apple é: vamos cuidar disso silenciosamente em segundo plano. E isso, para empresas ou negócios de qualquer nível, não é bom. Você não pode ter infecções acontecendo em segundo plano sem que sua equipe de segurança saiba disso. .”
O tempo dirá como a abordagem da Apple à segurança resistirá ao escrutínio. Por enquanto, as organizações que executam o macOS precisarão adicionar uma camada de segurança extra ao que já possuem por padrão.
“A chave”, diz Stokes, “é que as empresas devem ter algum outro tipo de detecção, além de confiar apenas na Apple. Basta ir e certificar-se de que você tem algo que lhe dê visibilidade e proteção extras”.
FONTE: DARKREADING