Pesquisadores de segurança detectaram uma nova variedade de malware escondida em alguns aplicativos macOS comumente pirateados. Uma vez instalados, os aplicativos executam inadvertidamente malware semelhante a um trojan em segundo plano no Mac do usuário. O que acontece a partir daqui não é nada bom…
9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Esta é Security Bite, sua coluna semanal focada em segurança no 9to5Mac. Todos os domingos, Arin Waichulis fornece insights sobre privacidade de dados, revela vulnerabilidades e esclarece ameaças emergentes no vasto ecossistema da Apple com mais de 2 bilhões de dispositivos ativosS. Mantenha-se informado, fique seguro.
Ao investigar vários alertas de ameaças, Laboratório de ameaças Jamf pesquisadores encontraram um arquivo executável com o nome .fseventsd. O executável usa o nome de um processo real (não por acidente) integrado ao sistema operacional macOS, usado para rastrear alterações em arquivos e diretórios e armazenar dados de eventos para recursos como backups do Time Machine. No entanto, .fseventsd não é um executável. É um log nativo. Além disso, Jamf descobriu que a Apple não assinou o arquivo suspeito.
“Essas características muitas vezes justificam uma investigação mais aprofundada”, afirmou Jamf Threat Labs em um comunicado. postagem no blog sobre a pesquisa liderada por Ferdous Saljooki e Jaron Bradley. “Usando o VirusTotal conseguimos determinar que esse curioso .fseventsd binário foi originalmente carregado como parte de um arquivo DMG maior.”
A dupla descobriu cinco arquivos de imagem de disco (DMG) contendo código modificado de aplicativos comumente pirateados, incluindo FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT e UltraEdit.
“Esses aplicativos estão hospedados em sites de pirataria chineses para fazer vítimas”, explica Jamf. “Uma vez detonado, o malware irá baixar e executar múltiplas cargas em segundo plano, a fim de comprometer secretamente a máquina da vítima.”
Embora na superfície os aplicativos possam ter a aparência e o comportamento pretendidos, um dropper é executado em segundo plano para estabelecer comunicações com uma infraestrutura controlada pelo invasor.
Num nível superior, o .fseventsd binário executa três atividades maliciosas (nesta ordem). Primeiro, é carregado o arquivo malicioso dylib (biblioteca dinâmica), que atua como um conta-gotas sendo executado sempre que o aplicativo é aberto. Isso é seguido por um download binário backdoor que usa o comando e controle de código aberto Khepri (C2) e a ferramenta pós-exploração e um downloader que configura a persistência e baixa cargas adicionais.
O Khépri projeto de código aberto pode permitir que invasores coletem informações sobre o sistema da vítima, baixem e carreguem arquivos e até abram um shell remoto, explica Jamf. “É possível que este malware seja um sucessor do malware ZuRu, dados seus aplicativos direcionados, comandos de carregamento modificados e infraestrutura do invasor.”
Curiosamente, como o backdoor Khepri permanece oculto em um arquivo temporário, ele é excluído sempre que o Mac da vítima é reinicializado ou desligado. No entanto, o dylib malicioso será carregado novamente na próxima vez que o usuário abrir o aplicativo.
Como se proteger contra malware
Embora Jamf acredite que este ataque tenha como alvo principalmente vítimas na China (em sites (.)cn), é importante lembrar os perigos inerentes ao software pirata. Infelizmente, muitos daqueles que instalam aplicativos piratas esperam receber alertas de segurança porque o software não é legítimo. Isso os leva a pressionar rapidamente o botão “Instalar”, ignorando qualquer aviso de segurança do macOS Gatekeeper.
Além disso, instale software antivírus e antimalware confiável. Embora esse malware específico possa passar despercebido, ter uma camada extra de defesa no Mac é sempre uma boa prática.
Mais sobre segurança e privacidade
Siga Arin: Twitter (X), LinkedIn, Tópicos
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
