Pesquisadores de segurança detectaram uma novidade variedade de malware escondida em alguns aplicativos macOS comumente pirateados. Uma vez instalados, os aplicativos executam inadvertidamente malware semelhante a um trojan em segundo projecto no Mac do usuário. O que acontece a partir daqui não é zero bom…
9to5Mac Security Bite é oferecido exclusivamente a você por Mosyle, a única plataforma unificada da Apple. Tudo o que fazemos é tornar os dispositivos Apple prontos para o trabalho e seguros para a empresa. Nossa abordagem integrada exclusiva para gerenciamento e segurança combina soluções de segurança de última geração específicas da Apple para proteção e conformidade totalmente automatizadas, EDR de última geração, Zero Trust com tecnologia de IA e gerenciamento de privilégios restrito com o mais poderoso e moderno Apple MDM no mercado. O resultado é uma plataforma unificada da Apple totalmente automatizada, atualmente confiável por mais de 45.000 organizações para deixar milhões de dispositivos Apple prontos para funcionar sem esforço e a um dispêndio conseguível. Solicite seu TESTE ESTENDIDO hoje e entenda por que o Mosyle é tudo que você precisa para trabalhar com a Apple.
Esta é Security Bite, sua pilar semanal focada em segurança no 9to5Mac. Todos os domingos, Arin Waichulis fornece insights sobre privacidade de dados, revela vulnerabilidades e esclarece ameaças emergentes no vasto ecossistema da Apple com mais de 2 bilhões de dispositivos ativosS. Mantenha-se informado, fique seguro.
Ao investigar vários alertas de ameaças, os pesquisadores do Jamf Threat Lab encontraram um registo possível com o nome .fseventsd. O possível usa o nome de um processo real (não por acidente) integrado ao sistema operacional macOS, usado para rastrear alterações em arquivos e diretórios e armazenar dados de eventos para recursos porquê backups do Time Machine. No entanto, .fseventsd não é um possível. É um log nativo. Ou por outra, Jamf descobriu que a Apple não assinou o registo suspeito.
“Essas características muitas vezes justificam uma investigação mais aprofundada”, afirmou Jamf Threat Labs em uma postagem no blog sobre a pesquisa liderada por Ferdous Saljooki e Jaron Bradley. “Usando o VirusTotal conseguimos mandar que esse curioso .fseventsd binário foi originalmente onusto porquê secção de um registo DMG maior.”
A dupla descobriu cinco arquivos de imagem de disco (DMG) contendo código modificado de aplicativos comumente pirateados, incluindo FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT e UltraEdit.
“Esses aplicativos estão hospedados em sites de pirataria chineses para fazer vítimas”, explica Jamf. “Uma vez detonado, o malware irá encolher e executar múltiplas cargas em segundo projecto, a termo de comprometer secretamente a máquina da vítima.”
Embora na superfície os aplicativos possam ter a aspecto e o comportamento pretendidos, um dropper é executado em segundo projecto para estabelecer comunicações com uma infraestrutura controlada pelo invasor.
Num nível superior, o .fseventsd binário executa três atividades maliciosas (nesta ordem). Primeiro, é onusto o registo malicioso dylib (livraria dinâmica), que atua porquê um conta-gotas sendo executado sempre que o aplicativo é descerrado. Isso é seguido por um download binário backdoor que usa o comando e controle de código descerrado Khepri (C2) e a utensílio pós-exploração e um downloader que configura a persistência e baixa cargas adicionais.
O projeto de código descerrado Khepri pode permitir que invasores coletem informações sobre o sistema da vítima, baixem e carreguem arquivos e até abram um shell remoto, explica Jamf. “É provável que leste malware seja um sucessor do malware ZuRu, dados seus aplicativos direcionados, comandos de carregamento modificados e infraestrutura do invasor.”
Curiosamente, porquê o backdoor Khepri permanece oculto em um registo temporário, ele é excluído sempre que o Mac da vítima é reinicializado ou desligado. No entanto, o dylib malicioso será onusto novamente na próxima vez que o usuário penetrar o aplicativo.
Uma vez que se proteger
Embora Jamf acredite que leste ataque tenha porquê escopo principalmente vítimas na China (em sites (.)cn), é importante lembrar os perigos inerentes ao software pirata. Infelizmente, muitos daqueles que instalam aplicativos piratas esperam receber alertas de segurança porque o software não é legítimo. Isso os leva a pressionar rapidamente o botão “Instalar”, ignorando qualquer aviso de segurança do macOS Gatekeeper.
Ou por outra, instale software antivírus e antimalware confiável. Embora esse malware específico possa passar despercebido, ter uma categoria extra de resguardo no Mac é sempre uma boa prática.
Mais sobre segurança e privacidade
Siga Arin: Twitter (X), LinkedIn, Tópicos