A Moonlock, divisão de cibersegurança da MacPaw, descobriu um novo malware destinado ao macOS.
Esta variante do ‘Cavalo de Troia’ demonstra um elevado nível de sofisticação, projetada para capturar logins/senhas e enviar os dados ao autor do ataque por meio de uma conexão remota ou e-mail.
Golpe em macOS: malware se disfarça de ‘GTA 6’ para acessar senhas
O software malicioso tem uma característica única: ele se camufla como uma falsa cópia do jogo ‘Grand Theft Auto 6’ (que ainda nem foi lançado), ou uma versão pirateada do aplicativo de produtividade Notion.
A tática é comumente utilizada para explorar a confiança dos usuários em aplicativos/jogos conhecidos, enganando-os para que baixem os malwares.
Os aplicativos que incluem essa ameaça também encontram uma maneira de contornar o Gatekeeper, medida de segurança do macOS projetada para evitar a instalação de programas não verificados e potencialmente maliciosos.
Para burlar essa função, basta abrir o menu de opções de um arquivo DMG de um aplicativo e clicar em ‘Abrir’.
Os aplicativos disfarçados apresentam instruções para realizar esse procedimento, o que impede que os usuários percebam a ameaça.
Usuários desavisados correm o risco de ter senhas e outras informações sensíveis roubadas pelo software malicioso – Foto: MacMagazine/Reprodução
Quando executado, o arquivo DMG abre outro arquivo do tipo Mach-O, chamado de ‘AppleApp’, que então faz uma solicitação para uma URL proveniente de um endereço de IP russo.
Caso a conexão seja estabelecida com sucesso, o aplicativo malicioso inicia o download de um payload do AppleScript e do Apple Bash, parcialmente ofuscados.
Esse payload é executado diretamente da memória, evitando o sistema de arquivos do Mac.
Quando executado no sistema, o malware utiliza uma variedade de técnicas para obter credenciais por meio de phishing, roubar dados sensíveis, identificar o perfil do sistema e capturar outras informações.
Uma das estratégias do malware para roubar dados envolve exibir uma falsa janela de instalação de um aplicativo, solicitando o nome de usuário e a senha da vítima.
Com tais informações, o malware consegue acessar as Chaves do iCloud e, consequentemente, as senhas armazenadas lá e em outras fontes de dados sensíveis do sistema.
Com precisão, o malware examina os diretórios do sistema em busca de informações valiosas, como cookies, histórico de navegação e credenciais de login em diversos navegadores, como Chrome e Firefox.
Além disso, o software malicioso acessa listas de servidores recentes, incluindo bases de dados das Chaves e carteiras de criptomoedas.
Por meio de AppleScripts mais avançados, o malware cria uma pasta secreta nos diretórios dos usuários.
Nela, são armazenados todos os logins, senhas e chaves coletados, aguardando a extração do Mac infectado para um servidor controlado pelo executor do crime.
Para se proteger contra ameaças como essa, é crucial ter cuidado ao baixar softwares fora da Mac App Store.
É importante verificar a autenticidade do site onde o arquivo está disponível e se os aplicativos e jogos foram realmente lançados, como no caso do ‘GTA 6’ que ainda não foi lançado.
Com informações do portal Mac Magazine.