sábado, fevereiro 27

Malware desconhecido já infectou 30 mil Macs

Uma nova campanha maliciosa contra usuários de macOS foi detectada, felizmente, antes de ser ativada. A praga Silver Sparrow, como foi chamada, já estava instalada em mais de 29,1 mil computadores da Apple ao redor do mundo, entre versões com chips Intel e o mais seguro e recente, M1, teoricamente esperando ordens de seus responsáveis para iniciarem um ataque ainda desconhecido.

A descoberta foi feita pelos pesquisadores das empresas de segurança Red Canary, em parceria com especialistas da VMware Carbon Black e Malwarebytes, que emitiram alerta e informaram sobre a praga até então desconhecida. Ela, porém, apresentava elementos de alta sofisticação, não sendo possível entender exatamente como ela chegou aos Macs, enquanto possui mecanismos de ofuscação para ser deletada das máquinas assim que as ações maliciosas fossem realizadas, como forma de ampliar ainda mais seu poder de furtividade.

Esse aspecto, inclusive, foi responsável por intrigar os pesquisadores, que dizem não saber exatamente o intuito dos cibercriminosos que estão por trás da ameaça. Ela permanece ativa, mas oculta, desde a inicialização do macOS e durante todo seu funcionamento, checando servidores de controle de hora em hora para saber se é hora de executar comandos ou arquivos binários para iniciar a infecção que, entretanto, não está presente no pacote encontrado.


Siga o Canaltech no Twitter e seja o primeiro a saber tudo o que acontece no mundo da tecnologia.

Chamou a atenção, por exemplo, a presença da praga nos chips M1, muito mais fechados e seguros em relação às opções de Mac com tecnologia da Intel. Este é apenas o segundo malware a atingir o novo hardware da Apple, lançado em novembro, com a ideia dos especialistas indicando se tratar de uma ameaça retrocompatível, capaz de atingir os novos computadores a partir de usuários que estão os substituindo por versões antigas, mas também possuindo uma versão própria para a nova arquitetura, sendo capaz de a infectar diretamente.

De acordo com os especialistas, se trata de uma ameaça de nível global, presente em máquinas ativas de 153 países e com uma concentração maior nos EUA, França, Alemanha, Canadá e Reino Unido. Seu objetivo, entretanto, é desconhecido, bem como o gatilho para sua ativação, e da mesma forma, não existem indícios de que o chamado mecanismo de autodestruição da praga tenha sido ativado de alguma maneira. Assim, permanece a ideia de que este é um ataque esperando para acontecer, caso não tivesse sido flagrado antes disso.

Entretanto, apesar da aparente sofisticação, existem algumas brechas que permitiram a pesquisadores e à própria Apple agirem antes mesmo de o Silver Sparrow entrar em ação. O uso de redes de distribuição de conteúdo como Amazon e Akamai ajuda, por exemplo, a frear o próprio comando que levaria à ativação do malware, enquanto sua descoberta, levada à Apple, fez com que a empresa revogasse a execução dos arquivos binários que permitem seu funcionamento, fazendo com que a praga dormente fosse desativada antes mesmo de entrar em funcionamento.

Sendo assim, os usuários já podem ter tranquilidade, enquanto o desconhecimento quanto à sua finalidade e forma de atuação impedem que dicas de segurança sejam dadas de forma assertiva. A aposta, porém, é que os criminosos disfarçaram o Silver Sparrow como se fossem aplicativos legítimos, o que levou a uma distribuição rápida por todo o mundo e em diferentes tipos de sistemas.

A publicação da Red Canary sobre o Silver Sparrow traz indicadores de comprometimento, para administradores ou usuários avançados que desejam saber se suas máquinas foram infectadas com o malware. Além disso, a indicação segue relacionada ao download de softwares, apenas, de fontes legítimas, apesar de mesmo isso ser pouco preciso, já que a praga pode, muito bem, ter sido aplicada a partir de programas disponíveis na própria App Store. Além da desativação dos binários responsáveis pela execução da campanha, a Apple não falou sobre o assunto.

Leia a matéria no Canaltech.

Trending no Canaltech: