Alguns anos após o RustBucket, foi descoberto agora um novo malware para Mac feito pelo grupo BlueNoroff. Trata-se de um subgrupo da unidade de cibersegurança e cibercrimes da Coreia do Norte, o Lazarus Group, conhecido pelas ações de golpes online e disseminação de software malicioso.
O malware da vez, nomeado ObjCShellz, foi detectado pela consultoria de cibersegurança Jamf Threat Labs, não sendo ainda sequer conhecido por softwares de antivírus como o VirusTotal. Ele usa uma assinatura digital para se disfarçar e conecta-se a um domínio que falsifica o site de uma plataforma de criptomoedas.
Essa ligação faz sentido, considerando que o BlueNoroff geralmente tenta atrair vítimas fingindo ser um investidor ou alguém contratando pessoas. O domínio é usado para receber e enviar informações para o servidor dos crackers; enquanto a Jamf investigava o novo malware, foram descobertas outras URLs usadas para comunicação e o servidor dos crackers deixou de funcionar, provavelmente em resposta ao fato de ter sido descoberto.
O software malicioso foi construído usando a linguagem de programação Objective-C, usada para desenvolver apps para macOS. O malware age como um controle remoto, permitindo que os agentes enviem comandos e de uma forma voltada à não detecção pelo sistema, separando os comandos em dois ramos concatenados.
Após a infecção, o malware envia um sinal para os autores do ataque. Informações do sistema e da vítima, então, são capturadas, enquanto as comunicações são disfarçadas como tráfego normal. Por meio de servidores de comando e controle (C2), então, os softwares maliciosos são executados no computador da vítima.
Apesar da relativa simplicidade, o malware mostra ser efetivo, sendo parte da estratégia do BlueNoroff para se infiltrar em computadores usando ferramentas diretas e de forma disfarçada, sem que as vítimas notem. Os objetivos do grupo são majoritariamente financeiros, de modo a subtrair ativos digitais de pessoas em todo o mundo.
A Jamf afirmou que ainda não tem detalhes com relação a contra quem o malware foi oficialmente usado. Não obstante, considerando ataques que ocorreram esse ano e o domínio usado por esse software malicioso, ele provavelmente foi utilizado contra uma companhia no ramo de criptomoedas ou que trabalha de forma próxima ao ramo.
Para se proteger da ameaça, a consultoria reforçou recomendações gerais para se proteger na navegação online. Elas incluem ter cuidado com anexos em emails e possíveis golpes de phishing, em especial quando o remetente é desconhecido, bem como manter o Mac atualizado, baixar apps seguros, usar antivírus e firewall, além de definir senhas seguras. Também é importante monitorar contas bancárias para observar possíveis transações desconhecidas/desautorizadas logo.
via AppleInsider