Tirando proveito de uma técnica primitiva do Windows que depende de macros de execução automática incorporadas nos documentos do Microsoft Word, um novo tipo de ataque de malware do Mac foi descoberto recentemente. Como observado pela primeira vez em uma pesquisa compilada pela Objective-See, a técnica usada pode ser grosseira, mas quando um usuário desavisado abre um documento infectado do Word e escolhe executar as macros, o malware se instala silenciosamente no Mac de destino e tenta baixar imediatamente um carga perigosa.
O ataque foi descoberto pela primeira vez em um arquivo do Word intitulado "U.S. Aliados e rivais digerem a vitória de Trump - Carnegie Endowment for International Peace. ”
Após abrir um documento infectado no Word para Mac e clicar em Ativar macros na caixa de diálogo, a macro incorporada faz o seguinte:
- Verifica se o firewall de segurança LittleSnitch não está em execução.
- Faz o download de uma carga útil criptografada do segundo estágio.
- Descriptografa a carga útil usando uma chave codificada.
- Executa a carga útil.
Uma vez instalada, a carga útil pode registrar as teclas digitadas, monitorar a câmera e a área de transferência do sistema, fazer capturas de tela, acessar o iMessage, recuperar seu histórico de navegação e muito mais. Ele também se executa automaticamente após uma reinicialização.
Felizmente, o arquivo de carga útil remota foi removido do servidor.
Embora perigoso, essa não é uma forma de ataque particularmente avançada.
Você pode se proteger desses tipos de ataques, clicando em Desativar macros ao abrir um documento suspeito do Word. Dada a prevalência de malware baseado em macros no Windows, não admira que a Microsoft tenha incluído um aviso claro sobre vírus na caixa de diálogo do Word.
Fonte: Objective-See via Ars Technica