Esquema com URLs personalizadas abre brecha para ataques no macOS

O pesquisador de segurança Patrick Wardle chamou a atenção em publicação recente para um ataque tornado cada vez mais comum entre usuários de macOS. Trata-se de um esquema baseado na criação de um website falso, projetado para baixar automaticamente um arquivo malicioso compactado em “.zip”. Entretanto, parte fundamental da operação depende exclusivamente do componente posicionado em frente à tela e ao teclado do computador — isto é, o próprio usuário.

Primeiro strike

Ao acessar via Safari um dos sites fake projetados para o referido fim, o endereço tentará baixar e abrir diretamente o conteúdo, o que será possível caso a caixa “Abrir arquivos ‘seguros’ após a transferência” esteja marcada. Uma vez instalado, o conteúdo registrará um pacote de URLs personalizadas no sistema.

Segundo strike

Posteriormente, quando a página infectada for acessada, o navegador exibirá uma janela popup perguntando se o usuário permite que o aplicativo recém-instalado no Mac abra o arquivo utilizando a APT (Ferramenta de Empacotamento Avançada, na sigla em inglês). Caso concorde, o alvo terá aberto mão da sua segunda chance de evitar o ataque.

Terceiro strike

Por fim, o macOS emite um último aviso antes de abrir definitivamente o programa, alertando, uma vez mais, que o conteúdo foi baixado da internet e que, portanto, pode não ser seguro. Trata-se da última chance de evitar maiores dores de cabeça com a falha de segurança — que dificilmente seria considerado como uma brecha típica, dada a “colaboração” do usuário.

A APT é utilizada para diversas tarefas, tanto no macOS quanto no iOS. A ferramenta permite abrir PDFs logo após o download (em pré-visualização), por exemplo, sendo também responsável pela execução do iTunes ou da App Store no Mac ou no iPhone. No caso da brecha mencionada, os conteúdos maliciosos normalmente são remetidos com nomes pensados para enganar o usuário, tais como “Attachment.TXT” ou “Apple.com” — o que vale tanto para os sites quanto para os aplicativos baixados.

Abertura automática de arquivos no Safari

Como em boa parte dos ataques hacker atualmente em voga, o melhor mesmo é manter sempre uma boa dose de precaução. Para o ataque descrito por Patrick Wardle, a melhor dica é deixar desativada a descompactação automática de arquivos baixados — pelo menos para quem utiliza o Safari. Para tanto, basta abrir o menu do navegador e seguir para “Preferências”, “Geral” e, por fim, desmarcar a opção “Abrir arquivos ‘seguros’ após transferência”.

Fonte: 9To5Mac