Campanha de malware para macOS apresenta nova técnica de entrega

Pesquisadores de segurança soaram o alarme sobre uma nova campanha de ataque cibernético usando cópias crackeadas de produtos de software populares para distribuir um backdoor para usuários do macOS.

O que torna a campanha diferente de muitas outras que empregaram uma tática semelhante – como a relatada no início deste mês envolvendo sites chineses - é sua escala e sua nova técnica de entrega de carga útil em vários estágios. Também digno de nota é o uso, pelo agente da ameaça, de aplicativos macOS crackeados com títulos que provavelmente são de interesse dos usuários corporativos, de modo que as organizações que não restringem o que os usuários baixam também podem estar em risco.

Kaspersky foi o primeiro a descobrir e relatar no backdoor do Activator macOS em janeiro de 2024. Uma análise subsequente da atividade maliciosa pelo SentinelOne mostrou que o malware era “rodando abundantemente em torrentes de aplicativos macOS”, de acordo com o fornecedor de segurança.

“Nossos dados são baseados no número e na frequência de amostras únicas que apareceram no VirusTotal”, diz Phil Stokes, pesquisador de ameaças da SentinelOne. “Em janeiro, desde que esse malware foi descoberto pela primeira vez, vimos mais amostras exclusivas dele do que qualquer outro malware macOS que [rastreamos] no mesmo período.”

O número de amostras do backdoor do Activator que o SentinelOne observou é maior do que o volume de carregadores de adware e bundleware do macOS (pense em Adload e Pirrit) que são suportados por grandes redes afiliadas, diz Stokes. “Embora não tenhamos dados para correlacionar isso com dispositivos infectados, a taxa de uploads únicos para VT e a variedade de diferentes aplicativos usados ​​como iscas sugerem que as infecções na natureza serão significativas.”

Construindo um botnet macOS?

Uma explicação potencial para a escala da atividade é que o agente da ameaça está tentando montar uma botnet macOS, mas isso permanece apenas uma hipótese no momento, diz Stokes.

O ator de ameaça por trás da campanha Activator está usando até 70 aplicativos MacOS crackeados exclusivos – ou aplicativos “gratuitos” com proteções contra cópia removidas – para distribuir o malware. Muitos dos aplicativos crackeados têm títulos voltados para negócios que podem ser do interesse de indivíduos em ambientes de trabalho. Uma amostra: Snag It, Nisus Writer Express e Rhino-8, uma ferramenta de modelagem de superfície para engenharia, arquitetura, design automotivo e outros casos de uso.

“Existem muitas ferramentas úteis para fins de trabalho que são usadas como iscas pelo macOS.Bkdr.Activator”, diz Stokes. “Os empregadores que não restringem o software que os usuários podem baixar podem correr o risco de serem comprometidos se um usuário baixar um aplicativo infectado pelo backdoor.”

Os agentes de ameaças que buscam distribuir malware por meio de aplicativos crackeados geralmente incorporam o código malicioso e backdoors no próprio aplicativo. No caso do Activator, o invasor empregou uma estratégia um pouco diferente para entregar o backdoor.  

Método de entrega diferente

Ao contrário de muitas ameaças de malware para macOS, o Activator não infecta o software crackeado em si, diz Stokes. Em vez disso, os usuários obtêm uma versão inutilizável do aplicativo crackeado que desejam baixar e um aplicativo “Ativador” contendo dois executáveis ​​maliciosos. Os usuários são instruídos a copiar ambos os aplicativos para a pasta Aplicativos e executar o aplicativo Ativador.

O aplicativo então solicita ao usuário a senha de administrador, que ele usa para desabilitar as configurações do Gatekeeper do macOS para que aplicativos de fora da loja de aplicativos oficial da Apple possam agora ser executados no dispositivo. O malware então inicia uma série de ações maliciosas que acabam desligando a configuração de notificações do sistema e instalando um Launch Agent no dispositivo, entre outras coisas. O próprio backdoor do Activator é um instalador e downloader de primeiro estágio para outros malwares.

O processo de entrega em vários estágios “fornece ao usuário o software crackeado, mas faz backdoors na vítima durante o processo de instalação”, diz Stokes. “Isso significa que mesmo que o usuário decida posteriormente remover o software crackeado, isso não removerá a infecção.”

Sergey Puzan, analista de malware da Kaspersky, aponta outro aspecto digno de nota da campanha do Activator. “Esta campanha usa um backdoor Python que não aparece no disco e é iniciado diretamente a partir do script do carregador”, diz Puzan. “Usar scripts Python sem nenhum ‘compilador’ como o pyinstaller é um pouco mais complicado, pois exige que os invasores carreguem um interpretador Python em algum estágio do ataque ou garantam que a vítima tenha uma versão compatível do Python instalada.”

Puzan também acredita que um objetivo potencial do ator ameaçador por trás desta campanha é construir uma botnet macOS. Mas desde o relatório da Kaspersky sobre a campanha Activator, a empresa não observou qualquer atividade adicional, acrescenta.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique