Os Macs são seguros? Ameaças aos usuários do macOS

Os Macs são tão seguros quanto seus proprietários pensam que são? Algumas histórias recentes sobre malwares direcionados a usuários do macOS.

Muitos usuários da Apple acreditam que o sistema operacional macOS é tão seguro que está nenhuma ameaça cibernética pode prejudicá-los, então eles não precisam se preocupar em proteger seus dispositivos. No entanto, isso está longe de ser verdade: embora haja menos malwares para o macOS, eles são muito mais comuns do que os proprietários de dispositivos Apple gostariam de pensar.

Nesta postagem, discutimos as ameaças atuais enfrentadas pelos usuários do macOS e como proteger seu Mac com eficiência. Para ilustrar o fato de que os vírus para macOS existem, examinaremos três estudos recentes sobre várias famílias de malwares que foram publicados nas últimas semanas.

O BlueNoroff ataca usuários do macOS e rouba criptomoedas

No final de outubro de 2023, nossos pesquisadores descobriram um novo Cavalo de Troia do macOS que se acredita estar associado ao BlueNoroff , a “ala comercial” do grupo Lazarus APT que trabalha para a Coreia do Norte. Este subgrupo é especializado em ataques financeiros e se concentra especificamente em dois elementos: primeiro, ataques ao sistema SWIFT, incluindo o notório ataque ao Banco Central de Bangladesh, e segundo, roubos de criptomoedas de organizações e indivíduos.

O baixador do Cavalo de Troia do macOS descoberto é distribuído dentro de arquivos maliciosos. Ele está disfarçado como um documento PDF intitulado “Ativos criptográficos e seus riscos para a estabilidade financeira”, com um ícone que imita uma visualização deste documento.

BlueNoroff/RustBucket: chamariz em forma de página de rosto em PDF

Página de rosto do PDF enganoso que o Cavalo de Troia baixa e exibe ao usuário ao iniciar o arquivo a partir de um arquivo infectado.Fonte

Depois que o usuário clica no Cavalo de Troia (disfarçado de PDF), é executado um script que, na verdade, baixa o documento PDF correspondente da Internet e o abre. Mas, claro, isso não é tudo o que acontece. A principal tarefa do Cavalo de Troia é baixar outro vírus, que coleta informações sobre o sistema infectado, envia-as para o C2 e, em seguida, aguarda um comando para executar uma das duas ações possíveis: excluir automaticamente ou salvar em um arquivo e executar código malicioso enviado em resposta do servidor.

Cavalo de Troia proxy em software pirata para macOS

No final de novembro de 2023, nossos pesquisadores descobriram outra instância de malwares que ameaçam os usuários de Mac, um Cavalo de Troia proxy distribuído junto com o software pirata para macOS. Especificamente, esse Cavalo de Troia foi adicionado aos arquivos PKG de programas de edição de vídeo, ferramentas de recuperação de dados, utilitários de rede, conversores de arquivos e vários outros softwares. A lista completa de instaladores infectados descobertos por nossos especialistas pode ser encontrada no final do relatório publicado na Securelist.

Conforme mencionado anteriormente, esse malware pertence à categoria de Cavalos de Troia proxy,  um malware que configura um servidor proxy no computador infectado, essencialmente criando um host para redirecionar o tráfego da Internet. Posteriormente, os cibercriminosos podem usar esses dispositivos infectados para construir uma rede paga de servidores proxy, ganhando dinheiro daqueles que procuram esses serviços.

Como alternativa, os proprietários do Cavalo de Troia podem usar diretamente os computadores infectados para realizar atividades criminosas em nome da vítima, seja atacar sites, empresas ou outros usuários, ou comprar armas, drogas ou outros bens ilegais.

Atomic: um ladrão em atualizações falsas do navegador Safari

Também em novembro de 2023, uma nova campanha maliciosa foi descoberta para espalhar outro Cavalo de Troia para macOS, conhecido como Atomic e pertencente à categoria de ladrões. Esse tipo de malware procura, extrai e envia aos seus criadores todos os tipos de informações valiosas encontradas no computador da vítima, especialmente dados salvos em navegadores. Logins e senhas, detalhes de cartão bancário, chaves de carteira de criptografia e informações confidenciais semelhantes são de particular valor para os ladrões.

O Cavalo de Troia Atomic foi descoberto e descrito pela primeira vez em março de 2023. A novidade é que agora os invasores começaram a usar atualizações falsas para os navegadores Safari e Chrome para espalhar o Cavalo de Troia Atomic. Essas atualizações são baixadas de páginas maliciosas que imitam de forma muito convincente os sites originais da Apple e do Google.

Atualizações falsas do navegador Safari com o Cavalo de Troia ladrão embutido

Um site com atualizações falsas do navegador Safari que, na verdade, contêm o ladrão Atomic.Fonte

Uma vez executado em um sistema, o Cavalo de Troia Atomic tenta roubar as seguintes informações do computador da vítima:

  • cookies
  • logins, senhas e detalhes do cartão bancário armazenados no navegador
  • senhas do sistema de armazenamento de senhas do macOS (Keychain)
  • arquivos armazenados no disco rígido
  • dados armazenados de mais de 50 extensões populares de criptomoeda

Vulnerabilidades de dia zero no macOS

Infelizmente, mesmo que você não baixe nenhum arquivo suspeito, evite abrir anexos de fontes desconhecidas e geralmente evite clicar em qualquer coisa suspeita, ainda assim sua segurança não está garantida. É importante lembrar que qualquer software sempre tem vulnerabilidades que os invasores podem explorar para infectar um dispositivo e que exigem pouca ou nenhuma ação ativa do usuário. E o sistema operacional macOS não é exceção a essa regra.

Recentemente, duas vulnerabilidades de dia zero foram descobertas no navegador Safari. De acordo com o anúncio da Apple, os cibercriminosos já as estavam explorando quando foram descobertas. Simplesmente atraindo a vítima para uma página da Web maliciosa, os invasores podem infectar seu dispositivo sem nenhuma ação adicional do usuário, obtendo assim o controle sobre o dispositivo e a capacidade de roubar dados dele. Essas vulnerabilidades são relevantes para todos os dispositivos que usam o navegador Safari, representando uma ameaça para usuários de iOS/iPadOS e proprietários de Mac.

Este é um cenário comum: como os sistemas operacionais da Apple compartilham muitos componentes, as vulnerabilidades geralmente se aplicam não apenas a um dos sistemas operacionais da empresa, mas a todos eles. Assim, se trata de um caso de Macs sendo traídos pela popularidade do iPhone: os usuários do iOS são os principais alvos, mas essas vulnerabilidades podem ser facilmente usadas para atacar o macOS.

Um total de 19 vulnerabilidades de dia zero foram descobertas nos sistemas operacionais da Apple em 2023, que são conhecidas por terem sido ativamente exploradas por invasores. Destes, 17 usuários do macOS afetados, incluindo mais de uma dúzia com status de alto risco e um classificado como crítico.

Vulnerabilidades de dia zero no iOS e no macOS: CVE-2023-42917, CVE-2023-42916, CVE-2023-42824, CVE-2023-41993, CVE-2023-41992, CVE-2023-41991, CVE-2023-41064, CVE-2023-41061, CVE-2023-38606, CVE-2023-37450, CVE-2023-32439, CVE-2023-32435, CVE-2023-32434, CVE-2023-32409, CVE-2023-32373, CVE-2023-28204, CVE-2023-28206, CVE-2023-28205, CVE-2023-23529

Vulnerabilidades de dia zero no macOS, iOS e iPadOS descobertas em 2023, que foram ativamente exploradas por cibercriminosos

Outras ameaças e como proteger seu Mac

O que é importante lembrar é que existem inúmeras ameaças cibernéticas que não dependem do sistema operacional, tão perigosas quanto um malware. Em particular, preste atenção às seguintes ameaças:

  • Phishing e sites falsos. E-mails e sites de phishing funcionam da mesma maneira para usuários do Windows e proprietários de Mac. Infelizmente, nem todos os e-mails e sites falsos são facilmente reconhecíveis, portanto, mesmo usuários experientes muitas vezes correm o risco de ter suas credenciais de login roubadas.
  • Ameaças da Web, incluindo skimmers da Web. Os malwares podem infectar não apenas o dispositivo do usuário, mas também o servidor com o qual eles se comunicam. Por exemplo, os invasores geralmente invadem sites mal protegidos, especialmente lojas on-line, e instalam Web skimmers neles. Esses pequenos módulos de software são projetados para interceptar e roubar dados de cartões bancários inseridos pelos visitantes.
  • Extensões de navegador maliciosas. Esses pequenos módulos de software são instalados diretamente no navegador e operam dentro dele, portanto, não dependem do sistema operacional que está sendo usado. Apesar de aparentemente inofensivas, as extensões podem fazer muita coisa: ler o conteúdo de todas as páginas visitadas, interceptar informações inseridas pelo usuário (senhas, números de cartão, chaves para carteiras de criptografia) e até substituir o conteúdo da página exibida.
  • Ataques de interceptação de tráfego e man-in-the-middle (MITM). A maioria dos sites modernos usa conexões criptografadas (HTTPS), mas às vezes ainda se encontram sites HTTP onde a troca de dados pode ser interceptada. Os cibercriminosos usam essa interceptação para lançar ataques MITM, apresentando aos usuários páginas falsas ou infectadas em vez de páginas legítimas.

Para proteger seu dispositivo, contas de serviço on-line e, mais importante, as informações valiosas que eles contêm, é crucial usar uma proteção abrangente para computadores Mac e iPhones/iPads. Essa proteção deve ser capaz de neutralizar toda a gama de ameaças, por exemplo, soluções como o nosso Kaspersky Premium, cuja eficácia foi confirmada por vários prêmios de laboratórios de teste independentes.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?