Publicidade

Novo malware é capaz de infectar até o macOS para roubar criptomoedas

Por| 27 de Agosto de 2018 às 23h00

Link copiado!

The Hacker News
The Hacker News
Tudo sobre Kaspersky

Notícias preocupante para os usuários de macOS: um novo malware do grupo Lazarus para roubo de criptomoedas tem os computadores da Apple como um dos alvos. O alerta foi dado pela Kaspersky Labs, que afirma que essa é a primeira vez que um vírus do grupo tem foco no sistema da Apple.

O aplicativo malicioso tem o nome de AppleJeus, e foi descoberto por membros da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky quando, de modo inocente, um funcionário da empresa instalou o programa no próprio computador de trabalho, acreditando se tratar de um simples programa para negociação de criptomoedas. Ao ser instalado, o AppleJeus então instala um programa do tipo cavalo de troia na máquina, o que concede ao grupo Lazarus acesso total a uma bolsa de criptomoedas da Ásia.

O erro do funcionário se torna compreensível ao notarmos o esforço para esconder as reais intenções do programa. Ao contrário do que costuma acontecer com programas desse tipo, o desenvolvedor que aparecia como responsável pela distribuição possuía certificado digital válido para a assinatura do software, além do registro legítimo dos domínios da empresa na internet. Apenas depois de infectados que, ao investigar a fundo, os pesquisadores da Kaspersky não encontraram nenhuma empresa de softwares no endereço físico fornecido nas informações do certificado.

O próprio funcionamento do programa também pode ter influenciado na dificuldade que o GReAT teve para identificar o malware antes de ele infectar suas máquinas: mesmo que se abram suas linhas de código, ele não possui nada que, numa checagem superficial, se pareça com um funcionamento típico de um vírus. Num primeiro momento, o código do aplicativo mostra linhas de programa comuns para qualquer tipo de negociador de criptomoedas. Apenas ao investigar a fundo que os pesquisadores perceberam que o componente de atualização do programa (usado em aplicativos legítimos para baixar automaticamente sua versão mais atualizada) era, na verdade, um módulo de reconhecimento.

Continua após a publicidade

Primeiro, esse módulo coleta informações básicas do computador em que foi instalado, enviando-as para o servidor do grupo Lazarus, que irá decidir se o computador possui valor suficiente para ser invadido. Em caso positivo, o servidor envia uma atualização que instala o cavalo de troia conhecido como Fallchill, que possibilita o acesso ilimitado dos hackers à máquina onde ele foi instalado. Isso significa que nem todos os computadores infectados se tornam uma ferramenta para o roubo de criptomoedas, o que dificultou a identificação do mesmo como uma ameaça.

O Lazarus é um grupo de hackers que possui vínculo com a Coréia do Norte e são conhecidos por ataques de espionagem e sabotagem cibernética. De acordo com Vitaly Kamluk, chefe da GReAT na região da Ásia-Pacífico, o grupo começou a demonstrar interesse pelas criptomoedas em 2017, e o fato de eles terem criado um esquema tão elaborado — conseguindo até mesmo certificados válidos para evitar a detecção por sistemas de segurança tradicionais — é um indício de que as operações do grupo neste setor estão se mostrando lucrativas.

Prevenção

Por isso, especialistas recomendam não confiar cegamente em qualquer código executado no sistema, pois certificados digitais válidos e indícios de se tratar de uma empresa séria não são garantias de que o programa não será usado para fins maliciosos. A equipe da Kaspersky recomenda ainda que, sempre que precisar efetuar transações financeiras de grandes valores, utilize a autenticação multifator e carteira de hardware, de preferência em um computador isolado da rede e que não é utilizado para navegação na internet nem para leitura de e-mails.

Continua após a publicidade

Outro ponto importante é possuir um sistema de segurança capaz de detectar até mesmo ameaças desconhecidas pelos bancos de dados, além de manter a equipe de segurança de sua empresa a par dos mais recentes relatórios de inteligência sobre ameaças, para que possam estar sempre atualizados e tomar medidas preventivas, evitando ameaças que se tornam cada vez mais sofisticadas.