Os autores do malware para Mac conhecido como Shlayer conseguiram instalar suas cargas maliciosas por meio do processo automatizado de autenticação da Apple. Desde fevereiro, todo o software para Mac distribuído fora da loja virtual Mac App Store deve ser autenticado pela Apple para poder rodar no macOS Catalina ou superior.
O processo de autenticação exige que os desenvolvedores enviem os softwares que criaram para a plataforma macOS com o propósito de serem verificados por meio do serviço de notarial da Apple, um sistema automatizado projetado para escanear o software em busca de componentes maliciosos e problemas de assinatura de código.
Se eles [os softwares] passarem nessa verificação de segurança automatizada, os aplicativos serão habilitados pelo macOS Gatekeeper — um recurso de segurança do macOS que verifica se os aplicativos baixados foram verificados quanto a conteúdo malicioso conhecido — para serem executados no sistema.
Conforme a Apple descreve esse processo, “se houver algum problema com um aplicativo, a empresa pode interromper rapidamente novas instalações e até mesmo impedir que o aplicativo seja iniciado novamente”.
Mas o processo de autenticação da Apple falhou. Embora a empresa diga que esse processo tenha sido projetado para dar “aos usuários mais confiança de que o software assinado pelo ID do desenvolvedor que distribui foi verificado pela Apple em busca de componentes maliciosos”, conforme descoberto por Peter Dantini na semana passada, a Apple foi enganada para autenticar amostras do malware Shlayer.
Ele descobriu instaladores de adware Shlayer autenticados sendo distribuídos através de um site falso e malicioso do Homebrew, instaladores que podem ser executados em qualquer Mac executando macOS Catalina sem serem bloqueados automaticamente na inicialização. O Homebrew é o sistema de gerenciamento de pacote de software gratuito e de código aberto que simplifica a sua instalação no sistema operacional macOS.
Isso permitiu que os agentes de ameaças por trás dessa campanha de adware instalassem suas cargas nos sistemas em os instaladores teriam sido bloqueados anteriormente.
O pesquisador de segurança Patrick Wardle confirmou que esses instaladores estavam realmente entregando amostras de adware Shlayer autenticadas pela Apple, o que significa que eles também podem infectar usuários que executam a versão mais recente do macOS 11.0 Big Sur da empresa.
Pior ainda, dado que as amostras tinham o selo de aprovação da Apple, os usuários poderiam confiar nelas sem pensar duas vezes, permitindo que os desenvolvedores de malware distribuíssem suas cargas para um número ainda maior de sistemas, liberando uma variante de adware Bundlore persistente em Macs infectados.
Veja isso
Novo ransomware para Mac fica escondido em software pirata
Falha em ‘Sign with Apple’ dava acesso total a qualquer conta
Depois que Wardle relatou as amostras de malware autenticadas à Apple, a empresa reagiu imediatamente e revogou os certificados (o que significa que eles serão automaticamente impedidos pelo Gatekeeper) no mesmo dia — em 28 de agosto.
No entanto, no fim de semana, o pesquisador descobriu que a campanha Shlayer ainda estava forte, servindo novas cargas úteis autenticadas no dia em que a Apple revogou os certificados da amostra inicial. “Tanto a carga útil antiga quanto a ‘nova’ parecem ser quase idênticas, contendo OSX.Shlayer empacotado com o adware Bundlore”, disse Wardle.
Ele ressalta que a capacidade dos hackers de continuar agilmente seus ataques (com outras cargas autenticadas) é digna de nota. “Claramente, no interminável jogo de gato e rato entre os atacantes e a Apple, os atacantes estão (ainda) vencendo.”
Malware Shlayer macOS
Mesmo que alguns usuários de Mac pensem que o malware tem como alvo apenas o Windows e que os Macs são virtualmente seguros, o Shlayer foi observado atacando mais de 10% de todos os Macs, de acordo com um relatório da Kaspersky de janeiro deste ano.
No ano passado, uma variante do Shlayer foi observada em estado selvagem pela Unidade de Análise de Ameaças do Carbon Black enquanto aumentava os privilégios usando uma técnica de dois anos e desativava o mecanismo de proteção do Gatekeeper para executar cargas úteis de segundo estágio não assinadas. De acordo com levantamento da Kaspersky, o Shlayer foi a ameaça MacOS mais disseminada em 2019, tendo atacado em média um em cada dez dispositivos que utilizam o sistema operacional do Mac.
“De acordo com nossa telemetria, o Shlayer foi a ameaça MacOS mais disseminada em 2019 – evitamos ataques realizados pelo Shlayer em pelo menos um em cada dez dispositivos usando Kaspersky Solutions for Mac. É importante observar que, embora o Shlayer seja um trojan especializado na instalação de adware, é possível usar o malware para muitos outros fins”, disse Anton V. Ivanov, especialista em segurança da Kaspersky.
O Shlayer é conhecido por seu sistema de distribuição inteligente, que inclui a disseminação por meio de uma rede de parceiros e sites de entretenimento. A Kaspersky encontrou anteriormente mais de 700 domínios diferentes que hospedavam esse malware. Diante disso e da escala das campanhas do malware, Ivanov diz que não é surpresa que os cibercriminosos estejam trabalhando na expansão dos canais de distribuição desse malware.
“As atualizações falsas do Adobe Flash são uma forma comum de distribuir o malware. Vale lembrar que o Adobe Flash player quase não é mais usado, e as novas atualizações desse programa costumam ser ataques disfarçados. Por isso, aconselhamos o usuário a sempre verificar a legitimidade do site que disponibiliza o download do programa. Além disso, é importante ter uma solução de segurança confiável instalada em seus dispositivos”, salienta Ivanov.
Disfarce de instalador Adobe Flash Player
De fato, o Shlayer foi identificado pela primeira vez pela equipe de pesquisa da Intego enquanto era distribuído como parte de uma campanha de malware em fevereiro de 2018, disfarçado como um instalador Adobe Flash Player falso, assim como muitas outras famílias de malware voltadas para a plataforma macOS.
Assim como no passado, as versões mais recentes de malware são distribuídas como instaladores de atualização de software Adobe Flash maliciosos, mas, ao contrário dos originais que eram enviados por sites de torrent, o Shlayer agora está se espalhando por meio de pop-ups de atualização falsos, mostrados a vítimas em potencial no sequestro domínios ou clones de sites legítimos, ou como parte de campanhas de malvertising de longo alcance em sites legítimos.
Depois de infectar um Mac, o Shlayer instala o software de proxy mitmdump e um certificado confiável para que possa analisar e modificar o tráfego HTTPS, permitindo inserir páginas da web de anúncios, monitorar o tráfego do navegador das vítimas, bem como injetar scripts maliciosos nos visitantes sites.
Para piorar as coisas, isso também permite que o malware analise e altere todo o tráfego, até mesmo o tráfego criptografado, como banco online e e-mail seguro. Além de implantar o proxy de monitoramento de tráfego em máquinas comprometidas, os autores de Shlayer estão atualmente implantando adware como uma carga secundária, mas eles podem alternar cargas a qualquer momento para eliminar cepas de malware mais perigosas como ransomware ou limpadores. Com agências internacionais de notícias.