9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios exclusivo com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um custo acessível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Na edição especial desta semana do Mordida de segurança, Mosylelíder em gerenciamento e segurança de dispositivos Apple, revelou com exclusividade ao 9to5Mac detalhes sobre uma nova família de carregadores de malware para Mac. A equipe de pesquisa de segurança da Mosyle descobriu que essas novas ameaças são escritas em linguagens de programação não convencionais e usam diversas outras técnicas sorrateiras para evitar a detecção.
Um carregador de malware é basicamente um “pé na porta” para os cibercriminosos. Seu objetivo principal é estabelecer secretamente uma presença inicial em um sistema e criar um caminho para o upload de malware mais prejudicial.
Os novos exemplos de carregadores, descobertos no início deste mês, foram desenvolvidos usando Nim, Crystal e Rust – linguagens de programação normalmente não usadas para desenvolvimento de malware. Objective-C, C++ e Bash são os mais comuns. Esta abordagem incomum sugere que os invasores estão tentando deliberadamente contornar os métodos tradicionais de detecção de antivírus.
Embora essa abordagem seja furtiva, não acredito que se torne uma tendência generalizada. Usar linguagens de programação menos populares como Nim ou Rust é difícil para os criminosos cibernéticos. Essas linguagens provavelmente têm processos de compilação mais complexos do que opções testadas e comprovadas, como C e Bash, e vêm com menos bibliotecas e ferramentas prontas. A curva de aprendizado mais acentuada e a depuração mais complicada significam que os criminosos têm maior probabilidade de deixar acidentalmente rastros digitais que podem expor seu malware. Afinal, até os cibercriminosos desejam que seu código funcione sem problemas – e no momento, essas linguagens experimentais tornam isso muito mais difícil.
Outras táticas de evasão observadas:
- Persistência através do mecanismo launchctl do macOS
- Intervalos de sono de várias horas
- Verificações de diretório antes de transmitir dados
De acordo com a pesquisa de Mosyle, a campanha de malware está em seus estágios iniciais, potencialmente focada no reconhecimento. Os dados de telemetria indicam as amostras originadas de sistemas na Bulgária e nos Estados Unidos.
O mais preocupante é que as amostras permaneceram sem serem detectadas pelo VirusTotal por vários dias após sua descoberta inicial.
Abaixo estão os hashes das três amostras de malware com seus domínios de comando e controle (C2) correspondentes:
Exemplo de Nim
Domínio C2: morangos e mangas(.)com
Hash: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07
Amostra de Cristal
Domínio C2: motocyclesincyprus(.)com
Hash: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702
Amostra de ferrugem
Domínio C2: ar condicionadoersontop(.)com
Hash: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066
A equipe de segurança da Mosyle continua monitorando e pesquisando ativamente essas ameaças. Continuarei a fornecer atualizações aqui à medida que aprendemos mais. (.) servem para ajudar a evitar que os domínios sejam clicados ativamente. A equipe Moysle me disse que esses servidores C2 ainda podem estar ativos.
Mais: Grupos de ransomware surgem no terceiro trimestre de 2024, com mudança de domínio
Folhe Arin: Twitter/X, LinkedIn, Tópicos
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
