Descoberto malware para Mac que utiliza técnicas fileless

Acredita-se que hackers a trabalhar de perto com o governo norte-coreano estarão por trás de um trojan para Mac recentemente descoberto que utiliza execução in-memory para se manter escondido

Descoberto malware para Mac que utiliza técnicas fileless

As infeções in-memory foram, em tempos, utilizados por atacantes patrocinados por Estados. Em 2017, hackers mais avançados e motivados financeiramente adotaram a técnica e, desde então, tem-se tornado cada vez mais comum.

Recentemente foi descoberto um malware que utiliza execução in-memory para atacar dispositivos Mac. O malware não é totalmente fileless. Explica a ARS Technica que o primeiro estágio do ataque se apresenta como aplicação para criptomoedas.

Quando apareceu pela primeira vez no início da primeira semana de dezembro, apenas dois dos 57 produtos antivírus detetaram o ficheiro como suspeito. Na sexta-feira da mesma semana, de acordo com o VirusTotal, a deteção melhorou modestamente, com 17 dos 57 produtos a sinalizar o ficheiro.

Depois de executado, o arquivo utiliza um binário de pós-instalação que, segundo uma análise detalhada de Patrick Wardle, especialista em segurança de Mac do fornecedor de software para Mac empresarial Jamf, resulta num binário malicioso chamado unioncryptoupdated que é executado como root e tem "persistência", o que significa que sobrevive à reinicialização para garantir a execução constante.

Wardle explica que a instalação de um daemon de lançamento cujo plist e binário são armazenados ocultos no diretório de recursos de uma aplicação é uma técnica que corresponde ao Lazarus, o nome que muitos investigadores e agentes de inteligência usam para um grupo de hackers norte-coreano. Outra parte do malware para Mac, apelidada AppleJeus, fez a mesma coisa.

Embora as infeções fileless sejam uma indicação de que a Lazarus está a desenvolver cada vez mais malware furtivo, o AppleJeus.c, como Wardle apelidou o malware recentemente descoberto, ainda é fácil para os utilizadores detetarem. Como não foi assinado por um developer confiável da Apple, o macOS exibe um aviso.

Como é típico quando as aplicações são instaladas, o macOS exige que os utiliadores insiram a sua senha do Mac. Isto não é automaticamente uma dica de que algo suspeito está a acontecer, mas impede que o primeiro estágio seja instalado através de drive-bys ou outros métodos clandestinos.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 48 Março 2024

IT INSIGHT Nº 48 Março 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.