A Microsoft alertou para a rápida expansão de ataques de roubo de informações que, além do Windows, agora também miram ambientes Apple macOS.
Essa propagação ocorre por meio do uso de linguagens cross-platform, como Python, e do abuso de plataformas confiáveis para distribuição em larga escala.
A equipe Defender Security Research, da Microsoft, identificou campanhas de infostealers direcionadas ao macOS desde o final de 2023.
Essas ações utilizam técnicas de engenharia social, como o golpe conhecido como ClickFix, para distribuir instaladores em formato de imagem de disco (DMG) que liberam malwares do tipo stealer, como Atomic macOS Stealer (AMOS), MacSync e DigitStealer.
Os ataques empregam métodos sofisticados, incluindo execução fileless, uso de utilitários nativos do macOS e automações com AppleScript, facilitando o roubo de informações sensíveis.
Entre os dados comprometidos estão credenciais e sessões de navegadores web, iCloud Keychain e segredos de desenvolvedores.
O ponto de partida comum dessas campanhas é a veiculação de anúncios maliciosos, muitas vezes via Google Ads.
Usuários que buscam ferramentas populares, como DynamicLake e aplicativos de inteligência artificial, são redirecionados a sites falsos que aplicam iscas do tipo ClickFix.
Essa armadilha leva as vítimas a infectarem seus próprios dispositivos com malware.
Segundo a Microsoft, infostealers baseados em Python permitem que os atacantes se adaptem rapidamente, reutilizem códigos e atinjam ambientes heterogêneos com baixo custo operacional.
Geralmente, esses malwares são distribuídos via phishing e têm foco na coleta de credenciais de login, cookies de sessão, tokens de autenticação, números de cartão de crédito e dados de carteiras de criptomoedas.
Um exemplo é o PXA Stealer, associado a atores de ameaça que falam vietnamita.
Ele é capaz de roubar informações financeiras, credenciais de login e dados de navegador.
A empresa identificou duas campanhas do PXA Stealer em outubro e dezembro de 2023, que iniciaram o ataque por e-mails de phishing.
Nesses casos, a persistência se dava por meio de chaves de registro Run ou tarefas agendadas, enquanto a comunicação para comando e controle e a exfiltração de dados ocorriam via Telegram.
Além disso, atores mal-intencionados têm explorado aplicativos de mensagem populares, como o WhatsApp, para distribuir malwares como o Eternity Stealer.
Esse malware mira principalmente contas financeiras e de criptomoedas.
A campanha foi detalhadamente documentada pela LevelBlue/Trustwave em novembro de 2023.
Outros ataques relacionados a stealers envolvem editores de PDF falsos, como o Crystal PDF.
Esses são disseminados por meio de malvertising e envenenamento de SEO via Google Ads, com o objetivo de implantar stealers em Windows capazes de coletar furtivamente cookies, dados de sessão e caches de credenciais dos navegadores Mozilla Firefox e Chrome.
Para mitigar essas ameaças de infostealers, a recomendação para as organizações é investir na conscientização dos usuários sobre ataques de engenharia social, incluindo cadeias de redirecionamento malvertising, instaladores falsos e prompts do tipo ClickFix.
Também é importante monitorar atividades suspeitas no Terminal, acessos ao iCloud Keychain e inspecionar o tráfego de saída da rede, especialmente requisições POST a domínios recém-registrados ou suspeitos.
“Ser infectado por infostealers pode resultar em vazamento de dados, acesso não autorizado a sistemas internos, comprometimento de e-mails corporativos (BEC), ataques à cadeia de suprimentos e incidentes de ransomware”, alertou a Microsoft.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...