Apesar das proteções de segurança do Mac, crackers estão constantemente buscando construir formas de realizar ataques aos computadores — e o Cuckoo é mais uma artimanha desse tipo. Descoberta pela Kandji, a ameaça é uma mistura de spyware com ferramenta de roubo de informações, nomeada em referência ao pássaro que usa os lares de outras aves para as suas crias.
O programa malicioso foi encontrado em um aplicativo de conversão de músicas de streaming em arquivos no formato MP3, baixado no site DumpMedia e já sinalizado no VirusTotal — plataforma que reúne dados sobre ameaças e apps maliciosos. Outros sites, como TuneSolo, FoneDog, TunesFun e TuneFab, além de apps para Android, também hospedam apps com o spyware.
Já na hora de instalar o app, foi possível notar uma das estratégias utilizadas para enganar os usuários: ao abrir o arquivo DMG, em vez de aparecer a tela para arrastar o app para a pasta “Aplicativos”, foi exibida a instrução de clicar com o botão direito no arquivo e selecionar o comando “Abrir”.
Ao seguir o procedimento indicado pelo app, ele contorna algumas checagens de segurança do macOS que servem como primeira linha de defesa contra apps baixados da internet. Os pesquisadores da Kandji, então, selecionaram a opção de ver o conteúdo do pacote, de modo a entender o que estava no arquivo.
O instalador de fato continha o app prometido, mas também um arquivo executável sem assinatura de desenvolvedor. Esse segundo arquivo normalmente levaria o Gatekeeper (recurso de proteção do macOS) a bloquear a execução do app — esse foi o motivo pelo qual os crackers construíram a parte de instalação de modo a contornar a proteção do sistema.
Após instalar e abrir o app em questão — que, na parte visível para o usuário, roda normalmente —, ele começou a reunir informações sobre o Mac e a rodar vários processos. Algo curioso é que o processo é interrompido se detectar que o usuário é da Armênia, de Belarus, do Cazaquistão, da Rússia ou da Ucrânia.
Não sendo o caso, porém, mais processos são iniciados e o app exibe o aviso de que o macOS precisa acessar os Ajustes do Sistema, fazendo o usuário digitar a senha do computador e, então, checando se a senha digitada está correta, além de salvá-la. Depois disso, o app solicita permissões para acessar o Finder, a pasta Downloads e o microfone do Mac.
O software continua a capturar detalhes sobre o hardware da máquina, coletando ainda informações do Safari, do Notas (Notes) e das Chaves do iCloud (iCloud Keychain), inclusive as senhas. Até mesmo capturas de tela o spyware realiza, tendo o cuidado de silenciar o som do sistema para que não seja reproduzido o efeito sonoro da capturar de tela.
Como o app continua funcionando, fica ainda mais difícil de notar o que está acontecendo. É importante, pois, redobrar os cuidados ao baixar apps de fora da Mac App Store, verificando se a fonte é confiável, bem como instalando-o com o comando de arrastar o arquivo para a pasta “Aplicativos”, sem abrir margem para que as proteções do sistema sejam contornadas.
via Lifehacker