Malware para Macs está sendo espalhado por projetos do Xcode

Uma campanha maliciosa tem os usuários de macOS como alvo, utilizando projetos do Xcode como vetor para se espalhar. A ameaça atinge tanto usuários finais quanto, principalmente, os desenvolvedores de aplicativos para os dispositivos da Apple, sendo capaz de realizar diferentes atividades que vão desde o roubo de credenciais ou informações pessoais e bancárias até a instalação de ransomwares em aparelhos que, ainda se acredita, não sofrem com ameaças dessa categoria. Já se foram, porém, os tempos em que os sistemas operacionais da Apple eram totalmente à prova de pragas desse tipo.

• Macs têm mais malwares do que Windows pela 1ª vez na história, segundo pesquisa
• 93% das empresas podem ser invadidas por hackers em apenas 30 minutos
• Hackers só precisam de equipamentos que custam US$ 7 mil para espionar ligações

De acordo com os pesquisadores da Trend Micro, responsáveis pela descoberta, os malwares chegam por meio de projetos que utilizem a suíte de código aberto, usada para desenvolvimento de apps não apenas no macOS, mas também iOS e outros sistemas da Apple. A disseminação acontece não apenas a partir da própria plataforma, mas também por meio de qualquer app produzido sobre essa versão comprometida, utilizando o navegador Safari para executar JavaScripts que abrem as portas para as explorações desejadas pelos hackers.

Quando executados, os malwares se conectam a um servidor de controle e passam a registrar screenshots da tela do computador uma vez por minuto. A anterior é deletada sempre que uma nova é produzida, com o responsável pela exploração tendo uma noção do que está sendo realizado no computador e, a partir disso, enviando os comandos que permitem o comportamento malicioso desejado, de acordo com as características de cada sistema.

A segunda etapa da campanha de infecção acontece por meio da execução de um script que se aproveita de vulnerabilidades zero-day no macOS, ou seja, aquelas falhas que ainda não foram detectadas nem mesmo pela própria Apple. A partir de uma brecha em um sistema de proteção de dados do sistema operacional, os criminosos são capazes de roubar cookies do navegador e até mesmo se passar por ele, mapeando seu caminho na plataforma e utilizando o ícone do browser como forma de esconder sua presença de aplicativos de segurança e do próprio usuário.

Outras explorações possibilitadas pela família de malwares XCSSET, já identificada anteriormente pelos especialistas em segurança da informação, envolvem a substituição de carteiras de criptomoedas por endereços sob o controle dos hackers, a troca de links para downloads de aplicativos por versões maliciosas criadas pelos criminosos ou a captura de senhas e credenciais, ainda que a vítima realize o processo manual de troca caso tenha detectado algum tipo de comprometimento. Apps como Evernote, Skype, Telegram, QQ e WeChat também seriam comprometidos pela leitura de seus dados a partir da infecção.

A ideia é que as explorações são feitas de acordo com o tipo de sistema detectado pelos criminosos, no que pode ser, também, uma preparação para ataques direcionados contra empresas de desenvolvimento de software. A gravidade aumenta, de acordo com os especialistas, pelo fato de os projetos comprometidos poderem ser compartilhados pelo GitHub e outras ferramentas voltadas para desenvolvedores, o que inclui, também, sistemas internos de corporações ou comunidades de produtores de softwares. Entretanto, a Trend Micro não soube precisar exatamente como a infecção inicial aconteceu, levando em conta, claro, que a família de malwares não foi intencionalmente embutida em um projeto por seus próprios criadores.

Além disso, os especialistas da Trend Micro falam em um processo ainda em andamento, com 380 infecções detectadas em países como China e Índia a partir de apenas dois projetos disponíveis no Github e voltados para tais territórios. Ainda assim, segundo os analistas, há alto potencial de disseminação da família de malwares, apesar de seu objetivo final ainda não ser claro. Afinal de contas, todo aplicativo construído a partir de um projeto contaminado acaba se tornando, também, um vetor de infecção.

Enquanto não existem relatos de uma correção para as falhas zero-day que permitem o comprometimento pelos malwares da família XCSSET no macOS, a recomendação é que os usuários do Xcode sigam as orientações dispostas em documento da Trend Micro sobre a falha, que exibe indicadores de comprometimento e também os servidores usados pelos criminosos para controle das pragas. A Apple ainda não se pronunciou sobre uma possível correção das brechas que permitem a execução das pragas.

Fonte: Trend Micro, Threat Post