Graças aos esforços da Apple em melhorias, abertura de código-fonte e na produção de ferramentas para iniciantes, a linguagem Swift cresce em adoção a cada dia. Não surpreende, portanto, que já estejam à solta por aí algumas variantes novas de malwares para Macs, produzidos recentemente com a linguagem.
Classificados como ransomwares, eles foram identificados pela ESET, que publicou detalhes em seu blog. Segundo os especialistas, eles não são nem um pouco complexos ou bem elaborados; apesar disso, usuários ainda podem se deparar com os executáveis maliciosos em sites de torrent, disfarçados de ferramentas para quebrar a proteção de licenciamento do Microsoft Office e de aplicativos da Adobe Creative Cloud.
Os aplicativos recebem o nome de “Patcher”. Ao abri-los, apenas um comando exibido para iniciar as operações e, quando clicado, os diretórios do usuário começam a ter os seus arquivos cifrados e recebem um documento de texto com detalhes para fazer o pagamento em bitcoins. Porém, mesmo com o “resgate” pago, os arquivos permanecem indisponíveis.
A ESET chegou a identificar uma tentativa de anular o espaço livre do equipamento do usuário, mas os malwares são tão mal-concebidos que apontam para o local errado do comando no macOS.
Todas as amostras encontradas pela empresa foram carregadas nas assinaturas periódicas da sua solução de antivírus. No entanto, um fato inusitado aconteceu recentemente envolvendo a ferramenta: o Project Zero, grupo de hackers que trabalha para o Google relatando vulnerabilidades, revelou uma falha no produto da ESET permitindo execução remota de código. Que coisa!
Trojan também foi identificado usando a assinatura digital da Apple
Além dos achados da ESET, a Sixgill revelou detalhes de um novo Remote Access Trojan (ou RAT) com características bem mais avançadas que desafiam até mesmo as proteções que a Apple utiliza para homologar desenvolvedores na suas plataformas. Denominado “Proton”, ele foi identificado à venda na internet, totalmente às claras, por até 40 bitcoins (ou cerca de US$50 mil) disfarçado de uma ferramenta de segurança.
O Proton usa credenciais de assinatura digital que o macOS identifica como legítimas — provavelmente obtidas a partir de um desenvolvedor legitimo via fraude — e pode funcionar mesmo com o Gatekeeper ligado no sistema. O malware foi reconhecido com a capacidade de assumir privilégios de root usando vulnerabilidades ainda abertas e pode coletar dados digitados, executar outros softwares e controlar o Mac infectado, tudo de forma remota.
Desde a revelação da Sixgill, a página que hospedava a venda do Proton foi tirada do ar. Não se sabe o que aconteceu, mas com a revelação de especialistas, a Apple pode ter conseguido identificar a assinatura usada para publicá-lo, a essa altura.