Solução de problemas falsa faz usuários de Mac instalar malware que rouba dados

Um novo malware de roubo de dados está ameaçando os MacBooks, disfarçando-se de guia de resolução de problemas no computador pessoal da Apple — é o Shamos, uma variante do Atomic macOS Stealer (AMOS, ou “Ladrão Atômico de macOS”, em tradução livre), desenvolvido pelo grupo hacker COOKIE SPIDER. 

• Novo malware Cthulhu Stealer ameaça usuários de Mac
• Vírus perigoso para Mac quer roubar credenciais de usuários

O malware rouba dados e credenciais guardados em navegadores de internet como o Safari, além de itens de Keychan (onde são guardadas credenciais de acesso no Mac), Apple Notes e carteiras de criptomoedas.

Cuidado com ajuda no Mac

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

As vítimas, no caso deste novo ataque, foram atraídas pelo que se chama malvertising, publicidade maliciosa que surge em buscas na internet se passando por links legítimos. Também são usados repositórios do GitHub falsos que agem através de ataques ClickFix, fazendo os usuários executarem comandos no terminal do macOS.

Os hackers pedem para os usuários executarem comandos para instalação de softwares ou consertar erros falsos no sistema, mas na verdade baixam e executam os malwares. As publicidades falsas levam a vítima para páginas que imitam a ajuda do Mac (mac-safer[.]com, rescue-mac[.]com, por exemplo), que apresentam supostas soluções para problemas comumente pesquisados.

Ao invés de consertar o problema, no entanto, o comando rodado decodifica uma URL e busca um script bash malicioso em um servidor remoto. Ele captura a senha do usuário, baixa o executável Shamos mach-O e prepara e executa o malware. Aos mais entendidos, isso é feito com os comandos “xattr” (que remove a sinalização de quarentena) e “chmod” (que torna o arquivo binário executável) para circundar o Gatekeeper, software de segurança do macOS.

Uma vez no Mac, o Shamos roda comandos anti-VM para saber se o sistema não está rodando numa máquina virtual e então passa para comandos AppleScript para reconhecer o host e coletar dados. O malware busca dados sensíveis, desde dados keychain a informações guardadas no Apple Notes e no navegador e até carteiras de criptomoedas. Depois de coletar tudo, isso é compactado e enviado para os hackers num arquivo chamado “out.zip” via curl.

O novo tipo de ataque foi descoberto pela CrowdStrike, que recomendou aos usuários de macOS nunca executar comandos encontrados na internet caso não entenda exatamente o que eles fazem. O mesmo se aplica a repositórios do GitHub, já que a plataforma pode abrigar projetos maliciosos que infectam vítimas desavisadas.

Ao ter qualquer problema no Mac, o ideal é buscar ajuda em fóruns da Comunidade Apple, moderados pela própria empresa, ou acessar a Ajuda do Sistema (cmd + barra de espaço → “Help”). 

Confira também:

• Apple cita alta de malwares no MacOS para defender suas restrições na App Store
• Quais Macs vão atualizar para o macOS 26?
• Microsoft faz alerta sobre quatro famílias de ransomware para Mac

VÍDEO | IPHONE TEM VÍRUS? | Dicas | #shorts

Fonte: CrowdStrike