Nós já falamos aqui sobre o Cuckoo, um malware para Mac que engana os usuários no processo de instalação de determinado aplicativo para depois roubar dados com facilidade.
Agora, um pesquisador chamado Alden descobriu uma nova estratégia de distribuição não só para o Cuckoo, mas também para outra ameaça sobre a qual já falamos: o Atomic Stealer (AMOS). Diferentemente da versão relatada anteriormente, essa se disfarça em uma página falsa do Homebrew, famoso gerenciador de pacotes para o macOS.
Assim como na página original, a página fake — que foi descoberta graças a um arquivo enviado para o site VirusTotal — disponibiliza um comando para ser digitado no Terminal do Mac, o qual é utilizado para a instalação do Homebrew.
O comando, obviamente, é diferente do oficial (embora tente disfarçar isso ao usar uma URL verdadeira) e resulta na instalação do malware no computador do usuário — de uma forma não tão suspeita e utilizando o nome e a fama de um software legítimo como disfarce.
O pessoal da Intego foi além e descobriu que, após a publicação da descoberta de Alden, o malware sofreu alterações no script dropper e no binário Mach-O. O último, por exemplo, agora conta com a capacidade de detectar se está sendo executado em uma máquina virtual e modificar seu comportamento nessas ocasiões.
A verificação do ambiente de execução é uma tática usada por crackers para dificultar a descoberta do aplicativo por pesquisadores, os quais muitas vezes utilizam máquinas virtuais em suas pesquisas para evitar a contaminação do seu ambiente de trabalho principal.
Aparentemente, os golpistas por trás dessa variante do malware usam a mesma tática que os da primeira: anúncios pagos na página de pesquisa do Google, muitas vezes disfarçados de páginas e empresas oficiais de forma a enganar com facilidade usuários mais desavisados.
Como estratégia para prevenção, a Intego recomenda o fim do hábito de apenas pesquisar no Google para encontrar sites legítimos e clicar no primeiro link, sem se atentar se a URL está correta ou a outras pistas que podem levar ao download de um malware.
NOTA DE TRANSPARÊNCIA: O MacMagazine recebe uma pequena comissão sobre vendas concluídas por meio de links deste post, mas você, como consumidor, não paga nada mais pelos produtos comprando pelos nossos links de afiliado.
