Pesquisadores descobrem novo malware que mira usuários de macOS

Pesquisadores da empresa de cibersegurança Trend Micro descobriram um novo tipo de malware que tem como alvo os usuários de macOS. A ameaça, segundo os especialistas, se disfarça de um arquivo executável do tipo EXE, formato de arquivo oficial usado como um recurso de segurança no Windows, que anula os mecanismos de proteção integrados do Mac, como o Gatekeeper.

De acordo com a entidade, o EXE não é identificado pelo Mac porque não se trata de um software verificado, uma vez que a plataforma da Apple só mapeia arquivos Mac nativos. O malware executa arquivos utilizando um programa de framework chamado Mono, criado para habilitar o desenvolvimento de apps multiplataforma. Embora nenhum padrão de ataque específico seja visto, a telemetria da Trend Micro mostrou os números mais altos de infecções no Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos.

Segundo Don Ladores, líder técnico da Trend, a suspeita é que esse malware específico possa ser usado como uma técnica de evasão para outras tentativas de ataque ou infecção para contornar algumas salvaguardas internas, como verificações de certificação digital, já que ele é um executável binário não suportado nos sistemas Mac por design.

Como funciona

Para exemplificar a ameaça, a companhia examinou o instalador de um aplicativo de firewall popular para Mac e Windows chamado Little Snitch, disponível para download em vários sites de torrent. Quando o arquivo .ZIP baixado é extraído, ele contém um arquivo .DMG que hospeda o instalador do Little Snitch. Inspecionando o conteúdo do instalador, os pesquisadores descobriram a presença incomum do arquivo .EXE incluído dentro do aplicativo, que se verifica ser um executável do Windows responsável pela carga maliciosa.

Quando o instalador é executado, o arquivo principal também ativa o executável, já que é habilitado pela estrutura mono incluída no pacote. Essa estrutura permite a execução de aplicativos Microsoft .NET em plataformas como o OSX. Uma vez executado, o malware coleta as seguintes informações do sistema: model name, model identifier, velocidade do processador, processor details, number of processors, número de núcleos, memória, bootromversion, smcversion, número de série e UUID.

No diretório, o malware também verifica todos os aplicativos básicos e instalados e envia todas as informações para o servidor C&C. Este malware é executado especificamente para atingir usuários de Mac. A tentativa de executar a amostra no Windows exibe uma notificação de erro.

Para evitar o malware, a Trend Micro recomenda aos usuários evitar ou se abster de fazer download de arquivos, programas e softwares de fontes e sites não verificados, além de instalar uma proteção em várias camadas para seus sistemas individuais e corporativos.