Hackers abusam de certificados EV para assinar malware

08/10/2025 mindsecblog Notícias 0

Hackers abusam de certificados EV para assinar malware DMG completamente indetectável

Pesquisadores de segurança descobriram uma nova campanha de malware para macOS na qual agentes de ameaças estão abusando de certificados de assinatura de código de Validação Estendida (EV) para distribuir cargas úteis de imagens de disco (DMG) completamente indetectáveis (FUD).

Embora o abuso de certificados EV tenha atormentado o ecossistema Windows por muito tempo, sua expansão para malware macOS marca uma escalada significativa na exploração de assinatura de código.

Uma nova amostra de DMG (SHA-256: a031ba8111ded0c11acfede9ab83b4be8274584da71bcc88ff72e2d51957dd7) foi identificada assinada por um novo ID de desenvolvedor: THOMAS BOULAY DUVAL (J97GLQ5KW9).

Os certificados EV exigem verificação rigorosa de identidade e investimento financeiro substancial por parte de desenvolvedores legítimos. Na plataforma da Apple, os certificados EV são concedidos com moderação e alto custo e representam o padrão ouro para a confiança na assinatura de código.

No entanto, os adversários obtiveram esses certificados —seja por roubo, compra através de canais ilícitos ou abuso de documentos de identidade comprometidos— para assinar seu malware. Uma vez assinadas, as cargas DMG parecem legítimas macOS verificações de segurança e são facilmente instaladas pelos usuários.

Os operadores da campanha acrescentam fragmentos do nome do signatário ao identificador do pacote em uma tentativa grosseira de fingir legitimidade —balaban.sudoku imita “Alina Balaban” e thomas.parfums ecoa “Thomas Boulay Duval” Apesar dessa manobra, uma inspeção mais profunda revela facilmente comportamento malicioso.

Descobrindo o lançador malicioso

Análise do executável Mach-O dentro do DMG revela múltiplas referências à palavra francesa “parfums” incorporadas em tabelas de strings.

O AppleScript incorporado é obtido em tempo de execução a partir de uma URL remota (franceparfumes[.]org/parfume), semelhante às técnicas descritas por @osint_barbie em um tópico recente no Twitter.

Uma vez executado, o AppleScript descarta e executa uma carga útil de segundo estágio identificada como Odyssey Stealer, um trojan de coleta de credenciais visto anteriormente em implantações do Windows.

O script invoca APIs do sistema via Swift dataTaskWithURL:completionHandler: método para baixar o binário do ladrão e executá-lo no contêiner assinado sem gerar alertas.

Impacto Operacional e COIs

O uso indevido de certificados EV pelos agentes de ameaças’ prejudica Maçã modelo de confiança de assinatura de código. Assim que tais certificados forem relatados e adicionados à lista de revogação, as campanhas de malware subsequentes não serão lançadas em sistemas atualizados.

No entanto, a janela de oportunidade para uma mobilização não detectada pode durar dias ou semanas—tempo suficiente para comprometer inúmeras vítimas.

Indicadores de Compromisso:

SHA-256: a031ba8111ded0c11acfede9ab83b4be8274584da71bcc88ff72e2d51957dd7.
Domínio: franceparfumes[.]org/parfume.
Endereço IP: 185.93.89.62.

As equipes de segurança podem monitorar certificados EV abusados pelo Odyssey Stealer por meio da pesquisa pública da CertCentral em certcentral.org/lookup?detail_type=malware&query=Odyssey+Stealer, mantido por @SquiblydooBlog.

O uso de certificados EV para assinar malware macOS representa uma mudança preocupante na exploração de assinatura de código.

Organizações e usuários finais devem permanecer vigilantes—verificando a legitimidade do certificado além dos prompts do Gatekeeper e aproveitando feeds de inteligência de ameaças para bloquear domínios maliciosos e certificados revogados.

A denúncia imediata e a revogação de certificados EV abusados são fundamentais para interromper essas campanhas e proteger os ambientes macOS de ameaças assinadas de forma semelhante.