Malware do MacOS Costumava Espionar Usuários Domésticos nos EUA

Uma nova variante do malware do MacOS Fruitfly foi encontrada pelo pesquisador de segurança Patrick Wardle em cerca de 400 máquinas principalmente de usuários domésticos nos EUA.

Fruitfly

O malware foi divulgado pela primeira vez no início deste ano, e conseguiu capturar capturas de tela, ativar a webcam do computador, simular cliques do mouse e pressionar as teclas, baixar scripts e arquivos adicionais de servidores C&C (Command & Control) e coletar informações e conectar-se a outros dispositivos na rede local.

O fato de usar chamadas do sistema que datam de dias pré-OS X e uma versão da biblioteca libjpeg que data de 1998 parece indicar que o malware existe há muitos anos ou pode ser que o autor tenha escolhido usá-los para evitar o desencadeamento de detecções comportamentais dos sistemas de detecção atuais. 

Fruitfly: a variante

A análise de Wardle de uma segunda variante parece apontar para um uso mais sinistro do malware e do design por seu autor.

Depois de descobrir alguns domínios de backup codificados nela e verificar que eles estavam disponíveis, ele registrou um deles. Numa questão de dias, quase 400 Macs infectados estão conectados, aguardando instruções sobre o que fazer.

A configuração de um servidor C&C personalizado também permitiu que ele descobrisse mais sobre os recursos do malware sem ter que fazer o engenharia reversa.

Ele descobriu que esta segunda variante possui muitas das capacidades de espionagem do primeiro, mas que não há nenhuma indicação de que o malware é usado para instalar o ransomware ou coletar credenciais bancárias on-line.

Ao levar esse fato em consideração, juntamente com o perfil dos alvos, parece que o malware não foi usado por criminosos cibernéticos que procuram um dinheiro rápido ou atacantes patrocinados pelo estado. É mais provável que o atacante seja alguém que tenha usado o malware para seus próprios objetivos “perversos”.

Mas, como os domínios C & C do malware estão atualmente indisponíveis, parece que o invasor o “abandonou”.

De acordo com a Wardle, esta variante é atualmente detectada por uma pequena porcentagem de soluções AV comerciais.

 

fonte: HelpNetSecurity by  Zeljka Zorz 

por MindSec   26/07/2017
About mindsecblog 213 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.