Malware para MacOS mira nas criptomoedas
Novos malwares estão afetando os computadores da Apple e são muito difíceis de detectar. Pesquisadores de segurança confirmaram esta semana a presença do vírus, destacando que seus criadores usam uma falsa empresa de comércio de criptomoedas como fachada para suas atividades ilegais. Conforme divulgado pelo BleepingComputer.
Another #Lazarus #macOS #trojan
md5: 6588d262529dc372c400bef8478c2eec
hxxps://unioncrypto.vip/Contains code: Loads Mach-O from memory and execute it / Writes to a file and execute it@patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi
— Dinesh_Devadoss (@dineshdina04) December 3, 2019
O especialista em segurança cibernética, Dinesh Devadoss, revelou a descoberta do vírus capaz de ser armazenado na memória de computadores com sistemas operacionais MacOS. O malware pode receber uma carga útil – ou seja, uma mensagem ou qualquer outro tipo de dado – de um local remoto. Dessa maneira, os hackers podem executar operações específicas, como roubo de arquivos pessoais, diretamente da memória do computador. O malware também pode coletar informações do sistema operacional do computador e seu número de série, entre outros dados.
O especialista enfatizou que é um vírus muito difícil de detectar. O malware usa uma ferramenta, conhecida como daemon, que permite sua execução em segundo plano sem afetar as funções normais do computador. De acordo com os cálculos da plataforma Virus Total, há 70 antivírus no mercado, apenas 12 foram capazes de encontrar o novo malware. Por esse motivo, é considerado um arquivo malicioso com grande capacidade de dano.
Uma das características mais marcantes do vírus é que ele está relacionado a uma suposta empresa comercializadora de criptomoedas. O malware empacotado pode ser encontrado no site da plataforma, chamado Union Crypto Trader, conforme o blog Objetive See. A empresa se oferece como “uma plataforma inteligente de negociação de arbitragem de criptomoedas”, mas não possui links que redirecionam ou permitem o download de aplicativos reais.
Segundo o BleepingComputer, todo esse aparato tem uma semelhança impressionante com um ataque chamado Operação AppleJeus, descoberto e atribuído pela Kaspersky ao grupo Lazarus APT associado à Coreia do Norte.
Um aplicativo de negociação de criptomoeda trojanizado foi usado nesse ataque, assinado com um certificado válido emitido para uma empresa que não existia no endereço listado nas informações do certificado.
A Coreia do Norte tem sido frequentemente associada à atividades de hackerismo voltado para roubos bancários e de bolsas de criptomoedas na Ásia. Leia mais aqui.