Um ataque de malware “sofisticado e alarmante” para Mac está sendo realizado sob o disfarce de versões gratuitas de aplicativos populares, como o utilitário de gravação de tela Loom, o gerenciador de criptomoedas LedgerLive e o jogo MMO Black Desert On-line.
Parece ser um ataque bem organizado, com ofertas falsas de aplicativos para Mac promovidas por meio de uma combinação de anúncios do Google aparentemente legítimos e e-mails de phishing…
A campanha de malware foi descoberta pela Moonlock, um grupo de segurança cibernética dentro da MacPaw, a desenvolvedora por trás do aplicativo CleanMyMac. A equipe diz que, inicialmente, parecia estar limitada a imitar o Loom.
No Moonlock Lab, descobrimos recentemente uma ameaça sofisticada e alarmante que se espalha por URLs patrocinadas pelo Google. A ameaça, um malware ladrão que tem como alvo o macOS, se apresenta como o widespread aplicativo Loom, uma ferramenta de gravação de tela amplamente usada.
Nossa investigação começou quando notamos um anúncio do Google que parecia promover o aplicativo oficial Loom. À primeira vista, parecia legítimo, incitando os usuários a clicarem no que parecia ser uma fonte confiável. No entanto, ao clicar no hyperlink, as coisas tomaram um rumo desagradável.
Mas uma investigação mais aprofundada descobriu que anúncios e promoções de outros aplicativos também estavam sendo usados para empurrar o mesmo malware. Isso inclui:
- Deserto Negro On-line
- Calendly
- cromada
- Figura
- Raposa de fogo
- Reunião
- Razão ao vivo
- Lançador de festa
- Safári
- Ampliação
Pelo menos uma das campanhas de phishing tem como alvo específico os criadores do YouTube, alegando oferecer a eles um hyperlink de obtain específico para o criador do Black Desert On-line.
O hyperlink do LedgerLive é especialmente perigoso porque, quando baixado, ele substitui o aplicativo actual.
Ao substituir o aplicativo genuíno por uma versão prejudicial, os invasores podem potencialmente acessar e drenar as carteiras de criptomoedas das vítimas. Isso pode levar a perdas financeiras, pois o clone malicioso é projetado para imitar de perto a aparência e a funcionalidade do aplicativo legítimo, dificultando que os usuários detectem o comprometimento.
(Ele é capaz de) obter arquivos, informações de {hardware}, senhas, dados de navegadores, credenciais de despejo de chaves e muito mais.
Acredita-se que um grupo bem organizado conhecido como Loopy Evil esteja por trás da campanha.
Como sempre, baixe aplicativos somente da Mac App Retailer ou de websites de desenvolvedores confiáveis e verifique se o URL não muda para um domínio diferente ao clicar no hyperlink de obtain.
