macOS Catalina: Novo malware usa táctica inovadora para burlar a segurança do sistema
20 Junho, 2020A Intego, uma empresa de segurança e de antivírus, descobriu um novo malware que está a afectar os dispositivos com macOS, que faz com que os utilizadores ignorem as protecções modernas de segurança das aplicações do macOS.
No macOS Catalina, a Apple lançou novos requisitos de reconhecimento de firma de aplicações. Os recursos, criados no Gatekeeper, desencorajam os utilizadores a abrir aplicações não verificadas, exigindo que os autores de malware sejam mais criativos com as suas tácticas. Agora, o pessoal da Intego descobriu um novo malware que se espalha activamente através de resultados de pesquisa “envenenados” da Google, que induz os utilizadores a contornar essas protecções.
O malware é disponibilizado como uma imagem de disco .dmg, disfarçada de instalador do Adobe Flash. Porém, uma vez montado na máquina do utilizador, ele revela instruções para orientar os utilizadores no processo de instalação mal-intencionada.
Numa táctica descrita pelo Intego como “romance”, o malware pede aos utilizadores que cliquem com o botão direito do mouse e abram o malware em vez de clicar duas vezes em cima dele. Segundo as configurações do macOS Catalina Gatekeeper, isso exibe uma caixa de diálogo com um botão “Abrir”. Normalmente, ao clicar num ficheiro não verificado, a Apple não permite que os utilizadores os abram de forma tão conveniente.
Novo malware para macOS revela que pesquisas da Google podem ser inseguras
Normalmente, o macOS desencoraja os utilizadores a abrir essas aplicações não verificadas, tornando o processo mais difícil. Especificamente, forçando os utilizadores a entrar nas Preferências do Sistema para substituir o Gatekeeper. A estratégia também evita que utilizadores mal intencionados se inscrevam numa conta de programador, da Apple, ou sequestrem uma já existente.
Quando os utilizadores realmente abrem a aplicação instalador, ele executa um script bash shell e extrai um ficheiro .zip protegido por password que contém um pacote de aplicações maliciosas mais tradicional. Embora inicialmente instale uma versão legítima do Flash, o Intego diz que também pode ser usado para descarregar “qualquer outro pacote de malware ou adware do Mac”.
Curiosamente, o malware foi espalhado pelos resultados de pesquisa da Google que redirecionam os utilizadores para páginas maliciosas, alegando que o Flash Player de um navegador está desactualizado. A Intego acrescentou que o malware até agora conseguiu evitar a detecção pela maioria dos softwares antivírus.
As partes maliciosas reais do malware são variantes reprojectadas de cavalos de Troia do macOS anteriores, como Shlayer ou Bundlore.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
