Vídeo: How to remove a virus from MacBook — Basic malware check for Mac (Outubro 2024)
Pesquisadores descobriram malware projetado para espionar usuários no Mac de um ativista angolano.
O pesquisador independente de segurança Jacob Appelbaum descobriu a nova e desconhecida backdoor no Mac do ativista enquanto estava no The Oslo Freedom Forum, escreveu Appelbaum no Twitter. Ele descobriu uma segunda variante no computador de outro ativista logo depois.
"Parece ser um novo malware com comportamento totalmente novo", disse Bogdan Botezatu, do BitDefender, ao SecurityWatch .
Pelo menos no caso do primeiro ataque, o ativista foi vítima de um ataque de spear phishing, no qual foi atraído a baixar e instalar o malware enquanto estava conectado ao Mac, disse Botezatu.
O que o malware faz
O aplicativo backdoor parece capturar imagens do computador do usuário e armazená-las em uma pasta no diretório inicial do usuário chamada MacApp, escreveu Sean Sullivan, da F-Secure, no blog da empresa. Pesquisadores da F-Secure suspeitam que tenha sido desenvolvido comercialmente, disse Sullivan à SecurityWatch .
Uma vez instalado, o aplicativo se anexa à lista de itens de logon do usuário atual, uma lista de aplicativos que são executados automaticamente quando o usuário faz logon no Mac. O malware enviou as capturas de tela para dois servidores de comando e controle - um na Holanda e outro na França.
O principal objetivo do servidor de comando e controle é coletar toda a captura de tela, mas também armazena os nomes de host e informações adicionais sobre as máquinas infectadas, disse Botezatu. Os pesquisadores do BitDefender descobriram que a segunda variante do backdoor do Mac também se comunicava com um servidor na Romênia para baixar cargas úteis e componentes adicionais.
É possível que esse servidor atue como substituto dos criminosos se os outros servidores forem suspensos, disse Botezatu.
Enquanto o malware em si era "pouco sofisticado", ainda era capaz de coletar informações sobre as atividades do usuário naquele computador "sem fazer muito barulho", disse Botezatu.
O ID da Apple foi roubado?
O malware foi assinado com um ID de desenvolvedor Apple válido, o que significava que não seria detectado pela funcionalidade do Gatekeeper no Mac OS X. A Apple apresentou o Gatekeeper, que impede a execução de aplicativos não assinados baixados da Internet, no Mac OS X Mountain Lion e Lion v10.7.5 no ano passado. O BitDefender acredita que este é o primeiro malware Mac assinado digitalmente com um Apple ID legítimo.
No momento, não se sabe se a chave foi roubada de um desenvolvedor legítimo ou se o desenvolvedor de malware induziu a Apple a gerar o ID. Considerando que o nome é semelhante a uma famosa estrela de Bollywood que faleceu recentemente, é provável que o desenvolvedor tenha criado uma identidade falsa como parte do processo de inscrição, disse Botezatu.
Os usuários podem procurar em seus diretórios pessoais para ver se há uma pasta MacApp para descobrir se eles foram infectados.
Embora o malware tenha sido "manco", uma vez que foi facilmente detectado, ainda era "mortal", disse Appelbaum. "O problema é que o autor era bom o suficiente para colocar alguém em perigo mortal", escreveu Appelbaum no Twitter.
