Cibercriminosos Usam Python Para Atacar Windows e Mac Simultaneamente
TL;DR
Cibercriminosos estão ampliando suas operações para atacar usuários de macOS, o sistema operacional da Apple, além do Windows, utilizando a linguagem de programação Python.
Cibercriminosos estão ampliando suas operações para atacar usuários de macOS, o sistema operacional da Apple, além do Windows. Utilizando a linguagem de programação Python, que é multiplataforma, esses ataques se tornam mais eficientes e abrangentes.
A Microsoft observa que o uso de Python permite aos atacantes "reutilizar códigos e atingir ambientes heterogêneos com o mínimo de sobrecarga", o que economiza tempo e maximiza o impacto dos ataques.
Python, por sua natureza, permite que os criminosos desenvolvam malwares que operam em diversos sistemas operacionais sem grandes modificações. Assim, um programa malicioso pode ser rapidamente adaptado tanto para Windows quanto para macOS.
Essa mudança no panorama dos ataques é significativa, uma vez que o macOS historicamente apresentava uma percepção de segurança superior, levando muitos usuários a uma falsa sensação de proteção.
ClickFix Transformou o Cenário
O ponto de entrada mais comum nesses ataques é a técnica de malvertising, em que anúncios maliciosos são exibidos em plataformas de busca como Google Ads. Esses anúncios se disfarçam de legítimos e visam usuários em busca de aplicativos populares.
Quando uma vítima clica em um anúncio aparentemente legítimo, ela é redirecionada para um site falso que imita o original. Nesses sites, são oferecidas instruções que prometem resolver problemas técnicos ou fornecer downloads de software.
A técnica ClickFix é usada, incluindo comandos que levam a vítima a copiar e colar instruções no Terminal do macOS. O Terminal é uma interface que permite a execução de comandos diretamente no sistema, podendo conceder permissões elevadas ao malware.
Extração de Dados como Objetivo Principal
Os arquivos maliciosos geralmente são instaladores no formato DMG, específicos do macOS, semelhantes aos arquivos executáveis .exe do Windows. Esse malware é projetado para roubar informações da vítima.
Entre as variantes conhecidas de malware estão o Atomic macOS Stealer, MacSync e DigitStealer, todas com o objetivo comum de extrair dados valiosos.
Esses ataques se destacam pela sofisticação, utilizando funcionalidades legítimas do macOS para operar sem a gravação de arquivos no disco rígido, dificultando a detecção. Os criminosos exploram utilitários nativos e a linguagem de automação AppleScript, dificultando a identificação por antivírus.
O malware busca credenciais de navegadores, como senhas salvas, além de informações do iCloud Keychain, que centraliza as credenciais armazenadas.
Persistência do Malware no Sistema
Uma vez instalado, o malware visa garantir sua presença no sistema. No macOS, isso pode ser feito por meio da modificação de listas de propriedades (plists) ou pela criação de agentes de lançamento, funcionando como uma analogia às chaves de registro do Windows.
A comunicação entre o malware e os criminosos se dá por meio de canais disfarçados, como o aplicativo de mensagens Telegram, utilizado para controle remoto e envio de dados roubados.
WhatsApp Como Vetor de Distribuição
A Microsoft alerta sobre campanhas que utilizam o WhatsApp para disseminar malware, como o Eternidade Stealer, onde mensagens de contatos conhecidos ou grupos contêm links que instalam o malware.
Esse método é eficaz, uma vez que a confiança em mensagens do WhatsApp diminui a desconfiança do usuário. Outro vetor envolve editores de PDF falsos que, por meio de SEO envenenado, aparecem em pesquisas como "editor de PDF gratuito".
Ao instalar essas ferramentas, a vítima ativa um infostealer que coleta dados dos navegadores instalados.
Consequências Para Usuários e Empresas
Os impactos dos ataques se estendem além do roubo de senhas. O acesso a credenciais corporativas implica em riscos à segurança de informações sensíveis e acesso a sistemas empresariais, podendo resultar em fraudes financeiras e ataques de ransomware.
Medidas de Proteção
A Microsoft recomenda diversas práticas de segurança para minimizar riscos:
- A educação sobre como funcionam os anúncios maliciosos e a desconfiança em relação a mensagens e downloads suspeitos;
- A monitorização de atividades no Terminal, que pode sinalizar comprometimento;
- O acompanhamento de acessos ao iCloud Keychain, evitando acessos não autorizados;
- A análise de tráfego de rede em busca de requisições suspeitas que indicam exfiltração de dados.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
