Pesquisadores de segurança abriram a cortinado sobre o que parece ser uma versão do infame malware RustBucket que tem porquê cândido sistemas macOS. O que foi detectado pela primeira vez no início de abril, um novo relatório do Jamf Threat Labs destaca porquê esse ataque continua a evoluir e quem podem ser seus alvos potenciais.
RustBucket é uma forma relativamente novidade de malware que visa especificamente usuários de Mac. É o trabalho de um grupo de Prenúncio Persistente Avançada (APT) da Coreia do Setentrião chamado BlueNoroff, um subgrupo da conhecida empresa de crimes cibernéticos do Estado-nação, Lazarus Group.
Na terça-feira, especialistas em segurança da Apple no Jamf Threat Labs revelaram detalhes sobre o que acredita ser uma novidade versão de malware macOS em estágio ulterior sendo rastreada porquê ObjCShellz do BlueNoroff que se alinha estreitamente com RustBucket. “Estágio ulterior” refere-se posteriormente a ocorrência da infecção inicial e geralmente envolve exfiltração de dados, estabelecimento de persistência ou movimento lateral dentro de uma rede.
A BlueNoroff frequentemente alcança vítimas em potencial sob o dissimulação de investidor ou caçador de cabeças de empresa, de combinação com Jamf. Também não é incomum que agentes de ameaças criem domínios que parecem pertencer a uma empresa legítima de criptografia para se misturar às atividades da rede.
A invenção do ObjCShellz (versão semelhante ao RustBucket) foi feita depois que pesquisadores do Jamf encontraram um binário universal do macOS se comunicando com um domínio anteriormente classificado porquê malicioso.
“Levante praticável não foi detectado no VirusTotal no momento de nossa estudo, despertando nosso interesse”, afirmou Jamf.
RustBucket compromete seus alvos usando várias técnicas, porquê e-mails de phishing, sites maliciosos e downloads drive-by. Uma vez infectado, o malware se comunica com servidores de comando e controle (C2) para minguar e executar várias cargas. O que é mais elusivo, entretanto, é sua capacidade de passar por scanners antivírus, porquê o VirusTotal, completamente sem ser detectado.
E foi isso que esta novidade versão fez.
Na tentativa de se enviar com o servidor C2 da novidade versão, os pesquisadores do Jamf realizaram um pivô de DNS a partir do domínio malicioso inicial e encontraram vários outros URLs usados para informação. No final das contas, eles não tiveram sucesso e o servidor C2 ficou offline imediatamente depois.
“Nos últimos meses, o Jamf Threat Labs descobriu várias campanhas de malware orquestradas por esse indescritível ator de ameaças persistentes avançadas em um esforço para roubar ativos digitais das vítimas”, disse Jaron Bradley, diretor do Jamf Threat Labs. 9to5Mac.
“Nossa pesquisa mais recente lança luz sobre um malware anteriormente não relatado que está sendo usado pela BlueNoroff para estabelecer canais de informação secretos em sistemas comprometidos. Levante programa furtivo permite que os invasores enviem e recebam dados enquanto a vítima continua a usar o computador, evitando a detecção.”
ObjCShellz e variantes semelhantes podem simbolizar um problema sério para usuários de Mac. No entanto, existem algumas maneiras de se proteger.
- Mais importante ainda: tenha zelo ao penetrar anexos de e-mail, mormente se o remetente for incógnito. O malware pode ser entregue através de anexos infectados.
- Certifique-se de estar executando a versão mais recente do macOS com todos os recursos do patch de segurança que vem com ele. Isso ajuda a resolver vulnerabilidades conhecidas que o malware pode explorar.
- Instale software antivírus e antimalware confiável em seu Mac que também pode detectar e bloquear sites maliciosos. Embora o ObjCShellz possa realmente passar despercebido, é sempre uma boa prática ter uma classe extra de resguardo no Mac.
Você pode encontrar o relatório completo do Jamf sobre a novidade versão de malware e ver os indicadores de comprometimento cá.
