Pesquisadores identificam malware que espiona usuários de Mac pela nuvem

Pesquisadores de segurança da informação descobriram uma vulnerabilidade que permite que cibercriminosos espionem usuários de computadores Mac. As máquinas comprometidas são capazes de coletar informações de seus operadores, como gravação de teclas e capturas de tela.

• Como proteger o Mac contra Malware
• Malware de Android e iOS continua se espalhando aos milhares pela Europa

A Apple reconheceu a existência deste spyware voltado para usuários de seus produtos, e, como resposta, lançou um modo lockdown para os sistemas iOS, iPadOS e MacOS. Essa ferramenta desativa os backdoors mais explorados por criminosos para obtenção de execução de código e implantar malware.

Malware é focado em Mac e na nuvem

O malware em questão foi nomeado como “CloudMensis”, por seu foco em computadores Mac que usam serviços públicos de armazenamento em nuvem para se comunicar com seus operadores. Segundo a empresa, não se trata de um software malicioso dos mais avançados, porém, não se torna menos perigoso por isso.

“As amostras que analisamos do CloudMensis são compiladas para arquiteturas Intel e Apple. Ainda não sabemos como as vítimas conseguem ser comprometidas por esse malware”, disse o chefe do laboratório de pesquisa da consultoria Eset na América Latina, Camilo Gutiérrez Amaya.

“Entendemos que quando você recebe privilégios administrativos e de execução de código, há um processo de duas etapas, a primeira etapa baixa e executa a segunda etapa com mais funções. Curiosamente, o malware de primeiro estágio recupera o segundo de um provedor de armazenamento em nuvem”, explica o pesquisador.

Instalação em duas partes

De acordo com Amaya, o malware não utiliza um link acessível ao público e inclui um token de acesso para o download do arquivo MyExecute na unidade. Na amostra analisada pela empresa, o serviço de armazenamento em nuvem pCloud foi utilizado para armazenamento e entrega da segunda etapa.

“O componente da primeira etapa inclui um método chamado removeRegistration que é utilizado para fazer a limpeza após a exploração de uma vulnerabilidade no Safari”, diz Amaya. “O segundo estágio do CloudMensis é um componente muito maior, embalado com múltiplas funções para coletar informações do Mac comprometido”, completa.

A intenção dos fraudadores é roubar informações como documentos, capturas de tela, anexos de e-mail e outros dados confidenciais de pessoas-chave de empresas. Para isso, o malware usa o armazenamento em nuvem para receber os comandos de seus operadores e para capturar os arquivos.

Para se proteger dessa ameaça, os pesquisadores da Eset recomendam manter o Mac sempre atualizado. Porém, ainda se sabe pouco sobre este malware. “Ainda não sabemos como atores maliciosos estão inicialmente distribuindo CloudMensis e quem são os alvos”, conclui o pesquisador.