A empresa de segurança Proofpoint detalhou o funcionamento de novos agentes de ameaça que usam a técnica de injeção de código malicioso em sites visando enganar usuários e roubar dados pessoais. Um deles, o TA2727, é responsável por distribuir o malware FrigidStealer, que é direcionado ao macOS.
Observado em sites na França e no Reino Unido, o malware engana usuários por meio de engenharia social. Ao acessar um site comprometido, ele é redirecionado para uma página de atualização do navegador sendo utilizado, a qual faz o download de um arquivo DMG correspondente caso o usuário clique em “Atualizar”.
Ao clicar para executar o arquivo, o usuário é instruído a executá-lo dando um clique secundário (com o botão direito, em mouses) para só então clicar em “Abrir” — o que faz com que o Gatekeeper do macOS seja ignorado, impendido o sistema de avisar ao usuário de que se trata de um arquivo não confiável.
A abertura do arquivo implica na instalação do FrigidStealer na máquina do usuário, que é solicitado a digitar sua senha — o que, caso feito, permite ao malware coletar dados como cookies do navegador, arquivos com extensões relevantes, senhas, arquivos de criptomoedas ou qualquer nota criada.
Como maneiras de se proteger das ameaças, a Proofpoint sugere mecanismos para detecção de ameaças na rede ou soluções de isolamento da navegação. Obviamente, sempre vale não confiar em qualquer arquivo baixado na internet e suspeitar de alertas/popups que surgem de maneira inesperada.
via AppleInsider
