Solução de problemas falsa faz usuários de Mac instalar malware que rouba dados

Solução de problemas falsa faz usuários de Mac instalar malware que rouba dados – Canaltech

Um novo malware de roubo de dados está ameaçando os MacBooks, disfarçando-se de guia de resolução de problemas no computador pessoal da Apple — é o Shamos, uma variante do Atomic macOS Stealer (AMOS, ou “Ladrão Atômico de macOS”, em tradução livre), desenvolvido pelo grupo hacker COOKIE SPIDER.

O malware rouba dados e credenciais guardados em navegadores de internet como o Safari, além de itens de Keychan (onde são guardadas credenciais de acesso no Mac), Apple Notes e carteiras de criptomoedas.

Cuidado com ajuda no Mac

As vítimas, no caso deste novo ataque, foram atraídas pelo que se chama malvertising, publicidade maliciosa que surge em buscas na internet se passando por links legítimos. Também são usados repositórios do GitHub falsos que agem através de ataques ClickFix, fazendo os usuários executarem comandos no terminal do macOS.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

A ajuda falsa do Mac instrui os usuários a executar um comando, visível no final do print, que traz um malware para o computador (Imagem: CrowdStrike)

Os hackers pedem para os usuários executarem comandos para instalação de softwares ou consertar erros falsos no sistema, mas na verdade baixam e executam os malwares. As publicidades falsas levam a vítima para páginas que imitam a ajuda do Mac (mac-safer[.]com, rescue-mac[.]com, por exemplo), que apresentam supostas soluções para problemas comumente pesquisados.

Ao invés de consertar o problema, no entanto, o comando rodado decodifica uma URL e busca um script bash malicioso em um servidor remoto. Ele captura a senha do usuário, baixa o executável Shamos mach-O e prepara e executa o malware. Aos mais entendidos, isso é feito com os comandos “xattr” (que remove a sinalização de quarentena) e “chmod” (que torna o arquivo binário executável) para circundar o Gatekeeper, software de segurança do macOS.

Uma vez no Mac, o Shamos roda comandos anti-VM para saber se o sistema não está rodando numa máquina virtual e então passa para comandos AppleScript para reconhecer o host e coletar dados. O malware busca dados sensíveis, desde dados keychain a informações guardadas no Apple Notes e no navegador e até carteiras de criptomoedas. Depois de coletar tudo, isso é compactado e enviado para os hackers num arquivo chamado “out.zip” via curl.

Buscas como a da imagem geram resultados com publicidade maliciosa, também mostrada acima (Imagem: CrowdStrike)

O novo tipo de ataque foi descoberto pela CrowdStrike, que recomendou aos usuários de macOS nunca executar comandos encontrados na internet caso não entenda exatamente o que eles fazem. O mesmo se aplica a repositórios do GitHub, já que a plataforma pode abrigar projetos maliciosos que infectam vítimas desavisadas.

Ao ter qualquer problema no Mac, o ideal é buscar ajuda em fóruns da Comunidade Apple, moderados pela própria empresa, ou acessar a Ajuda do Sistema (cmd + barra de espaço → “Help”).