- Utilitário falso CleanMyMac espalha infostealer SHub
- O ataque faz com que o usuário cole comandos no terminal
- O malware rouba credenciais, criptografia e persiste pelo backdoor
Um falso programa utilitário para MacOs engana os usuários para que instalem um malware infostealer que extorque senhas, arquivos confidenciais e até dinheiro, alertam especialistas.
Os pesquisadores de segurança da Malwarebytes disseram que o programa fazia parte de uma campanha mais ampla e sofisticada, que também incluía um site customizado, falsificação de marcas conceituadas, um carregador e a antiga abordagem ClickFix.
Os pesquisadores disseram que a campanha falsificou o CleanMyMac, um programa legítimo de otimização de Mac desenvolvido pela MacPaw, criando um site quase idêntico sob o domínio cleanmymacos(DOT)org, o que torna mais fácil para as pessoas confundirem-no com o site real. No entanto, em vez de baixar e executar um instalador, as vítimas são solicitadas a abrir um terminal e colar um comando que busca a carga de um servidor de terceiros.
O artigo continua abaixo
Roubando arquivos e configurando persistência
“Em vez de explorar uma vulnerabilidade, ele engana o usuário para que execute o próprio malware”, explicou Malwarebytes. “Como o comando é executado voluntariamente, proteções como Gatekeeper, verificações de reconhecimento de firma e XProtect oferecem pouca proteção quando o usuário cola o comando e pressiona Return.”
O malware instalado desta forma chama-se SHub e, durante a instalação, solicitará à vítima a senha do macOS. Como todo o processo de instalação é pouco ortodoxo e parece algo que um usuário avançado faria, os usuários podem descartá-lo como uma prática padrão, explicaram os pesquisadores.
No entanto, a senha realmente dá ao SHub acesso ao macOS Keychain, credenciais de Wi-Fi, tokens de aplicativos e outras chaves privadas.
“Com a senha em mãos, o SHub inicia uma verificação sistemática da máquina”, disseram os pesquisadores do Malwarebytes.
Depois de roubar senhas, cookies, dados de preenchimento automático, extensões de carteira criptografada, dados de contas iCloud, arquivos de sessão do Telegram e outros objetos de valor, ele deixa para trás um backdoor de segundo estágio que substitui alguns aplicativos de carteira criptografada por cópias maliciosas. Assim, o malware mantém a sua persistência e também permite roubo de criptografia adicional.
Finalmente, os invasores instalariam o LaunchAgent falsificando um serviço de atualização do Google.
“Na prática, dá aos invasores a capacidade de executar comandos em um Mac infectado a qualquer momento até que o mecanismo de persistência seja descoberto e removido”, concluiu o relatório.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
