PSA: Cuidado com relatórios falsos de falhas do Mac para roubar suas senhas, carteiras criptografadas e muito mais

Embora o macOS seja geralmente muito estável, há momentos em que um aplicativo falha e o seu Mac se oferece para enviar um relatório de diagnóstico à Apple.

Foi descoberta uma nova forma de malware para Mac, que cria versões falsas deste formulário, solicitando a senha do seu Mac como parte da coleta de dados. Se você obedecer, ele terá acesso a uma enorme variedade de dados pessoais, incluindo seus gerenciadores de senhas e carteiras de criptomoedas…

Jamf diz que começou a rastrear o malware em maio e agora o viu em liberdade.

No início de maio, uma amostra suspeita do macOS carregada no VirusTotal surgiu através de nosso pipeline de processamento de amostras, e o Jamf Threat Labs começou a rastreá-la. Ele personificava a estrutura de relatórios de falhas da Apple e, naquele momento, parecia um infostealer ainda em desenvolvimento. No início de julho, estávamos vendo detecções de carga útil que correspondiam a uma de nossas regras internas, indicando que o projeto havia amadurecido do desenvolvimento para o uso ativo. Rastreamos esse malware com o nome CrashStealer.

A empresa de segurança cibernética afirma que a imagem de disco usada para distribuir o malware inicialmente tinha um Apple Developer ID válido e reconhecimento de firma que lhe permitia passar nas verificações do Gatekeeper.

O acesso inicial é feito por meio de uma imagem de disco chamada “Werkbit Setup”, que é montada em /Volumes/Werkbit Setup e contém um único pacote de aplicativos, Werkbit.app. Seu executável é denominado veltod e carrega o identificador de pacote dev.golove.velto. Ao contrário da carga útil que ele eventualmente instala, o dropper é devidamente assinado em código e autenticado: é um binário universal (arm64 e x86_64) assinado com o ID do desenvolvedor Emil Grigorov (WWB7JA7AQV), tem tempo de execução reforçado habilitado e carrega um tíquete de reconhecimento de firma grampeado. Notavelmente, a própria imagem do disco também é assinada, não apenas o aplicativo dentro dela, o que é incomum na entrega maliciosa de DMG, onde o contêiner normalmente não é assinado.

Macworld diz que a Apple revogou as credenciais, então agora deve ser detectado pelo Gatekeeper. No entanto, ainda é aconselhável cautela. Além de procurar a imagem do disco, você também deve examinar atentamente os relatórios de falhas do aplicativo e qualquer solicitação de senha informando que as Preferências do Sistema desejam fazer alterações.

Como sempre, sua melhor proteção é garantir que você baixe apenas aplicativos da Mac App Store e de sites de desenvolvedores em que você confia.

Foto de Philipp Katzenberger no Unsplash

Adicione 9to5Mac como fonte preferencial no Google
Adicione 9to5Mac como fonte preferencial no Google

FTC: Usamos links de afiliados automotivos para geração de renda. Mais.

Fuente