Um ataque de malware “sofisticado e alarmante” para Mac está sendo realizado sob o disfarce de versões gratuitas de aplicativos populares, como o utilitário de gravação de tela Loom, o gerenciador de criptomoedas LedgerLive e o jogo MMO Black Desert Online.
Parece ser um ataque bem organizado, com ofertas falsas de aplicativos para Mac promovidas por meio de uma combinação de anúncios do Google aparentemente legítimos e e-mails de phishing…
A campanha de malware foi descoberta por Bloqueio da Luaum grupo de segurança cibernética dentro da MacPaw, a desenvolvedora por trás do aplicativo CleanMyMac. A equipe diz que, inicialmente, ele parecia limitado a imitar o Loom.
No Moonlock Lab, descobrimos recentemente uma ameaça sofisticada e alarmante que se espalha por URLs patrocinadas pelo Google. A ameaça, um malware ladrão que tem como alvo o macOS, se apresenta como o popular aplicativo Loom, uma ferramenta de gravação de tela amplamente usada.
Nossa investigação começou quando notamos um anúncio do Google que parecia promover o aplicativo oficial Loom. À primeira vista, parecia legítimo, incitando os usuários a clicarem no que parecia ser uma fonte confiável. No entanto, ao clicar no link, as coisas tomaram um rumo desagradável.
Mas uma investigação mais aprofundada descobriu que anúncios e promoções de outros aplicativos também estavam sendo usados para empurrar o mesmo malware. Isso inclui:
- Deserto Negro Online
- Calendly
- cromada
- Figma
- Raposa de fogo
- Reunião
- Razão ao vivo
- Lançador de festa
- Safári
- Ampliação
Pelo menos uma das campanhas de phishing tem como alvo específico os criadores do YouTube, alegando oferecer a eles um link de download específico para o criador do Black Desert Online.
O link do LedgerLive é especialmente perigoso porque, quando baixado, ele substitui o aplicativo real.
Ao substituir o aplicativo genuíno por uma versão prejudicial, os invasores podem potencialmente acessar e drenar as carteiras de criptomoedas das vítimas. Isso pode levar a perdas financeiras, pois o clone malicioso é projetado para imitar de perto a aparência e a funcionalidade do aplicativo legítimo, dificultando que os usuários detectem o comprometimento.
(Ele é capaz de) obter arquivos, informações de hardware, senhas, dados de navegadores, credenciais de despejo de chaves e muito mais.
Acredita-se que um grupo bem organizado conhecido como Crazy Evil esteja por trás da campanha.
Como sempre, baixe aplicativos somente da Mac App Store ou de sites de desenvolvedores confiáveis e verifique se o URL não muda para um domínio diferente ao clicar no link de download.
FTC: Usamos links de afiliados automáticos para geração de renda. Mais.
