A empresa de desenvolvimento de software de segurança Malwarebytes acaba de expor o que poderia ser o primeiro caso conhecido de malware para Mac no ano de 2017.
Parece ser um malware altamente antiquado. Em outras palavras, não é super avançado e está usando métodos para infectar máquinas que são tão conhecidas que apenas um pequeno número de usuários desavisados seria vítima dela.
Segundo o relatório da Malwarebytes, esse malware depende de duas coisas: um arquivo oculto e a ação do usuário para solicitar o arquivo. Isso pode ser conseguido com uma interface do usuário que parece legítima e força o lançamento do malware em vez do que o usuário esperava lançar.
Esse malware parece ter como alvo mais as instituições de pesquisa biomédica do que qualquer outra pessoa, por isso não pretende prejudicar a população em geral. No entanto, ele abre um backdoor e permite a quem está ouvindo informações básicas, como capturas de tela, dados de tempo de atividade do sistema, posição do cursor do mouse e muito mais; uma grave violação de segurança.
Essas informações são então discretamente transmitidas ao ouvinte por meio de um servidor de terceiros, portanto, requer uma conexão à Internet. Para evitar que isso seja notado, uma variável booleana especial dentro do código impede que o aplicativo de malware seja detectado no Dock.
Também digno de nota é como esse malware possui código para simular movimentos e cliques do cursor do mouse, bem como pressionar as teclas do teclado, os quais parecem ser um meio de controle remoto sempre que o ouvinte quiser ter mais acesso. Talvez com uma pequena ajuda do horário de funcionamento, o ouvinte saiba quando as pessoas estão fora e poderá fazer coisas maliciosas quando for a hora certa..
O código funcionou bem em máquinas baseadas em Linux, bem como o de Macs executando o macOS da Apple, por isso parece viável em duas plataformas diferentes.
Curiosamente, Malwarebytes ressalta que, como o malware usa um método de ataque tão antiquado, seria fácil detectar e remover através de um olho treinado ou com programas de remoção de malware. Dito isto, está infectando máquinas que claramente não recebem muito tratamento anti-malware - então talvez elas devam começar.
Os especialistas que realizaram a engenharia reversa do malware encontraram arquivos de comentários que sugerem que esse malware está em vigor há algum tempo; pelo menos desde o OS X Yosemite (lançado em 2014). A razão pela qual esse malware passou despercebido por tanto tempo foi porque foi direcionado a uma amostra muito pequena de máquinas. Se estivesse presente em mais máquinas, pode ter sido notado e relatado muito mais rapidamente.
É muito improvável que o seu Mac em casa tenha sido infectado com esse malware, que está sendo apelidado OSX.Backdoor.Quimitchin, nomeado após os espiões astecas que eram conhecidos por se infiltrar em outras tribos para obter informações. No entanto, isso não quer dizer que outro malware nocivo não possa infectar sua máquina, portanto, você deve sempre ter cuidado com o que faz o download.
