Home Tecnologia Este malware macOS disfarçado de GTA6 executa roubo de senhas de chaveiro – 9to5Mac

Este malware macOS disfarçado de GTA6 executa roubo de senhas de chaveiro – 9to5Mac

Por Humberto Marchezini


Durante uma análise de várias amostras de um notável ladrão de macOS, os pesquisadores de segurança da Moonlock descobriram um com um nível alarmante de sofisticação. Sob o disfarce do inédito videogame GTA6, uma vez instalado, o malware executa técnicas bastante inteligentes para extrair informações confidenciais, como senhas das chaves locais de um usuário.

Em típico Mordida de segurança fashion, aqui está o detalhamento: como funciona e como se manter seguro.


9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.


Como relatei em uma edição anterior do Mordida de segurança, o malware criado especialmente para atingir o macOS continua a crescer em popularidade à medida que o Mac cresce em popularidade. No ano passado, 21 novas famílias de malware foram descobertas, um aumento de 50% em relação a 2022.

Apesar disso, ainda existe um equívoco comum de que os agentes da ameaça não têm como alvo as máquinas Apple. Embora isto possa ter sido verdade no passado, certamente não é o caso hoje. Não só o número de ataques de malware está aumentando, mas eles também estão se tornando mais sofisticados do que nunca.

Como funciona

Durante a análise, Bloqueio lunara divisão de segurança cibernética da MacPaw, descobriu que a nova amostra de malware é uma variante do software de roubo de senhas (PSW), um tipo de malware trojan projetado para coletar logins e senhas de máquinas infectadas e enviá-los de volta ao agente da ameaça por meio de uma conexão remota. ou email.

Os pesquisadores descobriram que o malware se disfarça como uma cópia do GTA6 ou uma versão pirata do Notion. Este é um truque comum de engenharia social que explora a confiança usando uma nomenclatura familiar para enganar os usuários e fazê-los baixar malware.

Notavelmente, todos os Macs vêm com uma versão do macOS Gatekeeper instalada que funciona em segundo plano para evitar que os usuários baixem aplicativos não assinados da Internet que possam conter malware. Um usuário, no entanto, pode substituir esse recurso de segurança simplesmente clicando com o botão direito no arquivo DMG e clicando em “Abrir”. Os cibercriminosos exploram essa facilidade incluindo um gráfico instruindo o usuário sobre como abrir o arquivo malicioso.

Janela mostrando ao usuário como ignorar o Gatekeeper para instalar o DMG. via Moonlock

Após a execução, o DMG libera um arquivo Mach-O chamado AppleApp.

“Posteriormente, AppleApp inicia uma solicitação GET para um URL específico originado de um endereço IP russo. Se a conexão for bem-sucedida, o programa começará a baixar uma carga AppleScript e Bash parcialmente ofuscada. Essa carga útil é executada diretamente a partir da memória do aplicativo, ignorando o sistema de arquivos”, Moonlock declarado em uma postagem no blog sobre as descobertas.

Quando executada, a carga utiliza uma abordagem multifacetada para atingir seus objetivos maliciosos. Nesta ordem:

  • Phishing para credenciais
  • Direcionando dados confidenciais
  • Perfil do sistema
  • Exfiltração de dados

Como um banco de dados local do Keychain só pode ser acessado com a senha do sistema do usuário, o malware executa sua segunda técnica inteligente. Ele implanta uma janela falsa de instalação de aplicativo auxiliar, explorando ainda mais a confiança e enganando o usuário para que revele sua senha.

Um exemplo visual de uma janela auxiliar. Não relacionado a esta amostra de malware.

O malware agora começa a ter como alvo os bancos de dados do Keychain e muitas outras fontes de dados confidenciais.

“Com precisão, o malware percorre os diretórios do sistema, procurando dados valiosos, como cookies, histórico de formulários e credenciais de login de navegadores populares, incluindo Chrome, Firefox, Brave, Edge, Opera e OperaGX. Além disso, ele busca a lista de servidores recentes do FileZilla, bancos de dados do macOS Keychain e carteiras de criptomoedas.”

Além disso, usando AppleScripts mais sofisticados, o malware estabelece uma pasta secreta nos diretórios pessoais dos usuários. Aqui, todos os logins, senhas e chaves coletados são armazenados para aguardar a extração do sistema infectado para um servidor externo controlado pelo cibercriminoso.

Carga útil do Apple Bash mostrando mecanismo de exfiltração de dados. via Moonlock

Como se manter protegido contra ladrões de macOS

Embora apenas cerca de 6% de todos os malwares tenham como alvo usuários de Mac, os agentes de ameaças estão visando ativamente o macOS mais do que nunca. É importante permanecer vigilante e continuar a usar a inteligência comum da Internet.

Embora você já conheça muitas dessas dicas, acho importante regurgitá-las novamente em relação aos ladrões de macOS:

  • Faça a devida diligência antes de instalar qualquer coisa fora da Mac App Store oficial
  • Sob nenhuma circunstância um usuário deve seguir as instruções para ignorar o Gatekeeper
  • Tenha cuidado com quaisquer avisos do sistema ou solicitações de informações confidenciais
  • Mantenha seus dispositivos e aplicativos atualizados para se proteger contra as ameaças e vulnerabilidades mais recentes

Mais em segurança

FTC: Usamos links de afiliados automotivos para geração de renda. Mais.



Source link

Related Articles

Deixe um comentário