Pesquisadores de segurança abriram a cortina sobre o que parece ser uma variante do infame malware RustBucket que tem como alvo sistemas macOS. O que foi detectado pela primeira vez no início de abril, um novo relatório da Laboratórios de ameaças Jamf destaca como este ataque continua a evoluir e quem podem ser seus alvos potenciais.
RustBucket é uma forma relativamente nova de malware que visa especificamente usuários de Mac. É o trabalho de um grupo de Ameaça Persistente Avançada (APT) da Coreia do Norte chamado BlueNoroff, um subgrupo da conhecida empresa de crimes cibernéticos do Estado-nação, Lazarus Group.
Na terça-feira, especialistas em segurança da Apple em Jamf Threat Labs revelou detalhes no que acredita ser uma nova variante de malware macOS em estágio posterior sendo rastreada como ObjCShellz da BlueNoroff que se alinha estreitamente com RustBucket. “Estágio posterior” refere-se após a ocorrência da infecção inicial e geralmente envolve exfiltração de dados, estabelecimento de persistência ou movimento lateral dentro de uma rede.
A BlueNoroff frequentemente alcança vítimas em potencial sob o disfarce de investidor ou caçador de cabeças de empresa, de acordo com Jamf. Também não é incomum que agentes de ameaças criem domínios que parecem pertencer a uma empresa legítima de criptografia para se misturar às atividades da rede.
A descoberta do ObjCShellz (variante semelhante ao RustBucket) foi feita depois que pesquisadores do Jamf encontraram um binário universal do macOS se comunicando com um domínio anteriormente classificado como malicioso.
“Este executável não foi detectado no VirusTotal no momento de nossa análise, despertando nosso interesse”, afirmou Jamf.
RustBucket compromete seus alvos usando várias técnicas, como e-mails de phishing, sites maliciosos e downloads drive-by. Uma vez infectado, o malware se comunica com servidores de comando e controle (C2) para baixar e executar diversas cargas. O que é mais elusivo, entretanto, é sua capacidade de passar por scanners antivírus, como o VirusTotal, completamente sem ser detectado.
E foi isso que esta nova variante fez.
Na tentativa de se comunicar com o servidor C2 da nova variante, os pesquisadores do Jamf realizaram um pivô de DNS a partir do domínio malicioso inicial e encontraram vários outros URLs usados para comunicação. No final das contas, eles não tiveram sucesso e o servidor C2 ficou offline imediatamente depois.
“Nos últimos meses, o Jamf Threat Labs descobriu várias campanhas de malware orquestradas por esse esquivo agente de ameaças persistentes avançadas em um esforço para roubar ativos digitais das vítimas”, disse Jaron Bradley, diretor do Jamf Threat Labs. 9to5Mac.
“Nossa pesquisa mais recente lança luz sobre um malware anteriormente não relatado que está sendo usado pela BlueNoroff para estabelecer canais de comunicação secretos em sistemas comprometidos. Este programa furtivo permite que os invasores enviem e recebam dados enquanto a vítima continua a usar o computador, evitando a detecção.”
ObjCShellz e variantes semelhantes podem representar um problema sério para usuários de Mac. No entanto, existem algumas maneiras de se proteger.
- Mais importante ainda: tenha cuidado ao abrir anexos de e-mail, especialmente se o remetente for desconhecido. O malware pode ser entregue através de anexos infectados.
- Certifique-se de estar executando a versão mais recente do macOS com todos os recursos do patch de segurança que vem com ele. Isso ajuda a resolver vulnerabilidades conhecidas que o malware pode explorar.
- Instale software antivírus e antimalware confiável em seu Mac que também pode detectar e bloquear sites maliciosos. Embora o ObjCShellz possa realmente passar despercebido, é sempre uma boa prática ter uma camada extra de defesa no Mac.
Você pode encontrar o relatório completo do Jamf sobre a nova variante de malware e visualizar os indicadores de comprometimento aqui.
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
