Descoberto malware para Mac que utiliza técnicas fileless
Acredita-se que hackers a trabalhar de perto com o governo norte-coreano estarão por trás de um trojan para Mac recentemente descoberto que utiliza execução in-memory para se manter escondido.
As infeções in-memory foram, em tempos, utilizados por atacantes patrocinados por Estados. Em 2017, hackers mais avançados e motivados financeiramente adotaram a técnica e, desde então, tem-se tornado cada vez mais comum.
Recentemente foi descoberto um malware que utiliza execução in-memory para atacar dispositivos Mac. O malware não é totalmente fileless. Explica a ARS Technica que o primeiro estágio do ataque se apresenta como aplicação para criptomoedas.
Quando apareceu pela primeira vez no início da primeira semana de dezembro, apenas dois dos 57 produtos antivírus detetaram o ficheiro como suspeito. Na sexta-feira da mesma semana, de acordo com o VirusTotal, a deteção melhorou modestamente, com 17 dos 57 produtos a sinalizar o ficheiro.
Depois de executado, o arquivo utiliza um binário de pós-instalação que, segundo uma análise detalhada de Patrick Wardle, especialista em segurança de Mac do fornecedor de software para Mac empresarial Jamf, resulta num binário malicioso chamado unioncryptoupdated que é executado como root e tem “persistência”, o que significa que sobrevive à reinicialização para garantir a execução constante.
Wardle explica que a instalação de um daemon de lançamento cujo plist e binário são armazenados ocultos no diretório de recursos de uma aplicação é uma técnica que corresponde ao Lazarus, o nome que muitos investigadores e agentes de inteligência usam para um grupo de hackers norte-coreano. Outra parte do malware para Mac, apelidada AppleJeus, fez a mesma coisa.
Embora as infeções fileless sejam uma indicação de que a Lazarus está a desenvolver cada vez mais malware furtivo, o AppleJeus.c, como Wardle apelidou o malware recentemente descoberto, ainda é fácil para os utilizadores detetarem. Como não foi assinado por um developer confiável da Apple, o macOS exibe um aviso.
Como é típico quando as aplicações são instaladas, o macOS exige que os utiliadores insiram a sua senha do Mac. Isto não é automaticamente uma dica de que algo suspeito está a acontecer, mas impede que o primeiro estágio seja instalado através de drive-bys ou outros métodos clandestinos.