MADRI 29 dez. (Portaltic/EP) -
O malware MacSync Stealer evoluiu para uma ameaça silenciosa aos computadores da Apple, que ele instala sob o disfarce de um aplicativo escrito em Swift, assinado e autenticado pela empresa de tecnologia antes de implantar suas ações maliciosas.
O MacSync Stealer é um malware projetado para roubar informações de Macs infectados, que geralmente é instalado no computador da vítima usando técnicas semelhantes às do ClickFix, "copiando e colando" códigos maliciosos.
Uma nova variante foi além dessa técnica, que requer ação por parte da vítima, para adotar uma abordagem sem intervenção, que consegue enganar o usuário, apresentando-se como um aplicativo legítimo da Apple, como um serviço de mensagens.
O malware é inicialmente um aplicativo escrito em Swift, a linguagem de programação da Apple, que tem uma assinatura associada a um ID de desenvolvedor e foi autenticado pela própria empresa de tecnologia.
O aplicativo é distribuído em uma grande imagem de disco (25,5 MB) que, como explica o Jamf Threat Labs em uma análise, "parece estar inflada por arquivos de isca incorporados no pacote do aplicativo".
Uma vez executado no computador, o malware realiza uma análise do ambiente, incluindo a conexão com a Internet, para determinar se tudo está em ordem para se conectar a um servidor e baixar e instalar o código malicioso em uma segunda fase.
"Essa mudança na distribuição reflete uma tendência mais ampla no cenário de malware do macOS, com os atacantes tentando cada vez mais incorporar seu malware em executáveis assinados e autenticados, o que lhes permite falsificar aplicativos legítimos. Ao aproveitar essas técnicas, os atacantes reduzem as chances de detecção precoce", disseram os analistas do Jamf Threat Labs.
Após ser informada pela empresa de segurança cibernética, a Apple revogou a certificação de ID da equipe de desenvolvedores.
Esta notícia foi traduzida por um tradutor automático