Security Bite: cepa de malware autodestrutiva do macOS disfarçada de aplicativo legítimo para Mac

LifeTechWebFebruary 29, 2024

0 4 minutes read

Pesquisadores de segurança da Moonlock, a relativamente novidade lado de segurança cibernética do MacPaw, detectaram uma novidade variedade de malware macOS osco porquê um aplicativo Mac legítimo que pode se destruir em determinadas condições. Na pior das hipóteses, ele pode extrair inadvertidamente cookies do Safari e do Chrome, contatos do catálogo de endereços e senhas de gerenciadores de senhas instalados. Conheça a Transferência Predomínio…

9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios individual com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um dispêndio alcançável. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.

Security Bite é sua pilastra semanal focada em segurança no 9to5Mac. Todos os domingos, Arin Waichulis fornece insights sobre privacidade de dados, revela vulnerabilidades e esclarece ameaças emergentes no vasto ecossistema da Apple com mais de 2 bilhões de dispositivos ativosS. Fique segurofique seguro.

Porquê relatei na edição da semana passada do Mordida de segurança, o malware criado mormente para atingir o macOS continua a crescer em popularidade à medida que mais pessoas migram para o Mac. No ano pretérito, foram descobertas 21 novas famílias de malware, um aumento de 50% em relação a 2022.

Laboratório Moonlock disse 9to5Mac que descobriu a novidade cepa de malware por meio de um aplicativo no VirusTotal enquanto pesquisava amostras. Formado por tapume de 70 mecanismos antivírus, o VirusTotal é amplamente utilizado por profissionais para estudar arquivos e URLs suspeitos e verificar se contêm qualquer malware. Por outro lado, os criminosos costumam usar o serviço para instituir se seus aplicativos maliciosos podem ser detectados facilmente.

De conciliação com o novo relatório do Moonlock Lab, um registro chamado Empire Transfer 12.3.23.dmg apareceu pela primeira vez no VirusTotal em dezembro do ano pretérito, supostamente sobrecarregado pelo(s) agente(s) da ameaço. Ele passou por todos os scanners, aparecendo porquê um aplicativo legítimo e usando a marca EMPIRE (@EMPIRE on X), uma conhecida gravadora ligada a Kendrick Lamar, Snoop Dogg e outros.

“Uma abordagem bastante padrão para nomear malware é usar nomes genéricos ou consoantes”, diz Moonlock. “Para fazer isso, os malfeitores usam um nome e um logotipo que são fáceis de usar pelo Google para enganar o usuário. Além do nome e símbolo da marca mostrados ao instalar o programa via dmg, nenhum link para (o real) IMPÉRIO foi encontrado.”

Conquista de tela das detecções do Empire Transfer 12.3.23.dmg no VirusTotal e banner suspeito:

Empire Transfer é um tipo de malware trojan espargido porquê ladrão de informações. Eles foram projetados para fazer exatamente o que o nome sugere: coletar o supremo verosímil de informações confidenciais de um usuário infectado, geralmente sem ser detectado. Um registro, que geralmente contém senhas, informações de cartão de crédito, contatos ou chaves de criptomoeda, é enviado de volta ao responsável da ameaço por e-mail ou conexão remota.

Porquê funciona

O DMG contém um registro criado com PyInstaller chamado 'Documentos do Engenheiro'. Por dentro, o código fundamentado em Python funciona porquê a espinha dorsal do aplicativo Empire Transfer, criando mais de uma dúzia de processos uma vez executados. “Notavelmente, nascente registro também não é detectado pelo VT”, diz Moonlock. Isso indica um código totalmente novo ainda não visto pelo VirusTotal ou seus scanners.

“Uma investigação mais aprofundada revelou que o Empire Transfer 12.3.23.dmg implanta várias técnicas para executar suas ações maliciosas, incluindo o lançamento do AppleScript por meio da instrumento ‘osascript’ para enganar os usuários e fazê-los revelar suas senhas.”

Além de atingir gerenciadores de senhas (ou carteiras) instalados localmente, o malware vai além para extrair cookies e contatos do Safari e Chrome do Catálogo de endereços. Aquém estão trechos de código de porquê cada um dos processos funciona:

amostra de código de malware de transferência do império moonlock — Snippet de código mostrando porquê o malware rouba cookies do Safari e do Chrome. através do Laboratório Moonlock

Untitled 2 — Porquê ele extrai informações de contato do Catálogo de Endereços. através do Laboratório Moonlock

ladrão de senhas malware exemplo de código macos moonlock macpaw — Snippet de código mostrando porquê o malware conquista dados de várias carteiras de senhas. através do Laboratório Moonlock

Moonlock Lab acredita que Empire Transfer compartilha características intimamente relacionadas ao AMOS, mais espargido porquê Atomic Stealer. Outra linhagem de ladrões de informações que começou a ter porquê branco as senhas das Chaves do iCloud no início do ano pretérito.

No entanto, a cepa apresenta algumas variações interessantes que aprimoram suas capacidades além do que o Atomic Stealer poderia fazer. “Notavelmente, o malware inclui vários arquivos no DMG, com um registro Mach-O empacotado usando PyInstaller. Esta diversificação na metodologia de ataque sugere uma evolução e adaptação contínuas por segmento dos agentes de ameaças para se manterem primeiro dos mecanismos de detecção”, afirma o relatório.

Ou por outra, o registro Mach-O do Empire Transfer implementa técnicas anti-virtualização que podem fazer com que o código “se mate” se detectar que está em um envolvente que não seja da Apple, porquê VirtualBox ou VMWare. Esta é uma técnica bastante sofisticada desenvolvida por autores de malware para evitar a detecção e impedir a investigação judicial por pesquisadores de segurança. “Essas táticas visam detectar a presença de máquinas virtuais, adicionando uma categoria suplementar de evasão ao arsenal do malware.”

Cá está o que parece:

Untitled 5 — **Snippet de código mostrando porquê o malware se mata em sistemas que não sejam Mac**. através do Laboratório Moonlock

Indicadores de compromisso:

Porquê se proteger contra ladrões de informações e outros malwares

Embora unicamente tapume de 6% de todos os malwares tenham porquê branco usuários de Mac, os agentes de ameaças estão visando ativamente o macOS mais do que nunca e é importante permanecer vigilante.

Embora você já conheça muitas dessas dicas, acho importante regurgitá-las novamente para as massas.

Faça a devida diligência antes de instalar qualquer coisa fora da Mac App Store solene
Passe o mouse e confirme os links antes de abri-los
Use senhas fortes e complexas e autenticação em duas etapas (sem SMS, se verosímil, OTP é melhor)
Tenha desvelo ao conceder permissões no seu Mac
Mantenha seus dispositivos e aplicativos atualizados