Pesquisadores do Moonlock Lab, braço de cibersegurança da MacPaw, descobriram uma nova versão de um malware para macOS anteriormente conhecido. Assim como o Atomic Stealer (AMOS), o Empire Transfer é um Trojan que se disfarça em um aplicativo supostamente legítimo para roubar dados do Mac, inclusive com capacidades ainda mais avançadas.
A nova versão do malware foi descoberta em um aplicativo registrado no VirusTotal [1, 2, 3] ao pesquisar por amostras. Essa plataforma é formada por cerca de 70 softwares de antivírus, permitindo classificar apps, arquivos e URL como maliciosos. Ela é tanto usada por profissionais para analisar ameaças quanto por crackers, que usam o serviço para testar se seus apps maliciosos podem ser detectados com facilidade.
Segundo o Moonlock Lab, um app de nome Empire Transfer 12.3.23.dmg apareceu pela primeira vez no VirusTotal em dezembro de 2023; acredita-se que o upload tenha sido feito pelos criadores do malware. O mais interessante é que, de início, o app passou pela verificação da plataforma, aparentando ser um app legítimo.
O software usava a marca da gravadora EMPIRE, ligada a artistas como Kendrick Lamar e Snoop Dogg. Essa estratégia de usar nomes genéricos ou com consoantes é comum entre malwares; a ideia é usar nome e logo que sejam fáceis de encontrar em uma busca no Google para confundir os usuários. Além do nome e da marca, não foi encontrado mais nada ligado à gravadora no app.
Como o malware funciona
O arquivo DMG do app malicioso contém outro arquivo criado com o PyInstaller. Dentro dele, há um código feito em Python que é o núcleo do malware, criando mais de dez processos ao ser executado. Tal arquivo, porém, não foi detectado pelo VirusTotal, mostrando o trabalho que os seus criadores fizeram para disfarçar a atividade maliciosa do novo código.
O app lança mão de várias técnicas para executar as ações, como lançar o AppleScript para fazer as pessoas revelarem as suas senhas. Além de ter como alvo gerenciadores de senhas e carteiras instaladas, o malware busca extrair cookies do Safari e do Chrome, contatos e outros dados.
O Moonlock Lab acredita que o Empire Transfer compartilha algumas características com o Atomic Stealer, o qual tinha como foco senhas nas Chaves do iCloud. Apesar disso, o malware mais recente trouxe algumas variações que ampliaram as suas capacidades, como incluir múltiplos arquivos no disco de instalação, sendo um deles empacotado com o PyInstaller.
Essa diversificação de métodos mostra a evolução e adaptação dos crackers para não terem as suas ameaças detectadas. O malware emprega também técnicas antivirtualização que podem fazer o código apagar-se ao detectar um ambiente que não seja da Apple, como máquinas virtuais. Essa sofisticada estratégia visa evitar a detecção do malware, adicionando mais uma camada para tal, bem como impedir investigações feitas por pesquisadores.
Como se proteger
Como esse tipo de malware fica escondido em apps teoricamente legítimos, é importante tomar cuidado ao baixar apps que não sejam da Mac App Store, especialmente considerando a constante evolução de crackers e o aumento de ameaças. É importante verificar links e sites nos quais os apps são baixados, bem como os seus desenvolvedores.
Outras ações importantes para se proteger são usar senhas com um grande número de caracteres (incluindo especiais) e ativar a autenticação em dois fatores, assim como se atentar ao conceder permissões a apps no Mac. Manter o computador atualizado também é essencial para se manter seguro.
via 9to5Mac