Malware para o Processador Apple M1, "chegou"

Agora que a Apple iniciou oficialmente a transição para o Apple Silicon, o malware também.

O pesquisador de segurança Patrick Wardle publicou um blog detalhando que ele encontrou um programa malicioso denominado GoSearch22, uma extensão do navegador Safari que foi retrabalhada para o processador M1 da Apple. (A extensão é uma variante da família de adware Pirrit, que é notória em Macs.) Enquanto isso, um novo Relatório da Wired também cita outros pesquisadores de segurança que encontraram outras instâncias distintas de malware M1 nativo a partir das descobertas de Wardle.

O malware GoSearch22 foi assinado com uma ID de desenvolvedor da Apple em 23 de novembro de 2020 - não muito depois que os primeiros laptops M1 foram revelados. Ter um ID de desenvolvedor significa que um usuário baixando o malware não acionaria o Gatekeeper no macOS, que notifica os usuários quando um aplicativo que eles estão prestes a baixar pode não ser seguro. Os desenvolvedores podem dar um passo adicional ao enviar aplicativos à Apple para serem autenticados para confirmação extra. No entanto, Wardle observa em seu artigo que não está claro se a Apple reconheceu o código, já que o certificado para GoSearch22 já foi revogado. Infelizmente, ele também escreve que, como esse malware foi detectado em liberdade, independentemente de a Apple tê-lo registrado em cartório, “usuários do macOS foram infectados”.

O próprio programa parece se comportar de maneira semelhante ao seu adware padrão. Por exemplo, se você estiver infectado, estará sujeito a ver coisas como cupons, banners, anúncios pop-up, pesquisas e outros tipos de anúncios que promovem sites obscuros e downloads. Esses tipos de malware também tendem a coletar seus dados de navegação, como endereços IP, sites que você visitou, consultas de pesquisa etc.

Isso é esperado, e não, se você tem um computador com M1, você não deve entrar em pânico ainda. Para ajudar um pouco, o problema com o processador M1 é que a arquitetura do chip é baseada em ARM, enquanto anteriormente a Apple confiava na arquitetura Intel x86. Ao fazer a mudança, a Apple prometeu desempenho super rápido e segurança integrada. E embora tenhamos descoberto que os chips M1 entregaram resultados impressionantes em nossos testes de benchmark, também está claro que o chip é retido por compatibilidade de software limitada. A maioria dos aplicativos disponíveis agora não foi desenvolvida para rodar nativamente no M1 e requer o Rosetta 2 da Apple, que converte automaticamente o software escrito para chips Intel em algo que o M1 pode entender. Para obter o melhor desempenho que a Apple prometeu, você deseja que o software seja otimizado para o chip M1. É por isso que os desenvolvedores estão trabalhando na criação de versões M1 nativas de seus softwares. Naturalmente, os desenvolvedores de malware também desejam que seu malware opere em capacidade máxima em dispositivos M1.

A boa notícia é que os pesquisadores e fornecedores de segurança também estão trabalhando para desenvolver métodos de detecção de malware M1. De acordo com a Wired, no entanto, você deve esperar um pouco de atraso nas taxas de detecção ao tentar encontrar novos tipos de malware. Dado esse atraso inevitável, é preocupante que os autores de malware tenham conseguido fazer a transição rápida da Intel para a Apple Silicon. Até agora, as instâncias nativas de malware M1 que foram encontradas não são ameaças significativas. Mas! O M1 existe há apenas alguns meses e é provável que mais tipos de variantes maliciosas estejam a caminho. Claro, eventualmente, os fornecedores de segurança irão se atualizar e atualizar as ferramentas de detecção para manter os consumidores seguros. Mas, enquanto isso, se você tem um laptop movido a M1, é uma boa ideia dobrar sua higiene de segurança e pensar duas vezes sobre o que você clica.

Fonte: Gizmodo US via Wired

Os cibercriminosos compraram anúncios no Facebook para um aplicativo Fake Clubhouse que estava repleto de malware

Os cibercriminosos têm pressionado os usuários do Facebook a baixar um aplicativo Clubhouse “para PC”, algo que não existe. O aplicativo é na verdade um trojan projetado para injetar malware em seu computador. O popular novo aplicativo de bate-papo somente para convidados está disponível apenas no iPhone, mas o interesse mundial na plataforma aumentou e os usuários estão clamando por versões para Android e, presumivelmente, para “PC”.

De acordo com o TechCrunch, a campanha maliciosa usou anúncios e páginas do Facebook para direcionar os usuários da plataforma a uma série de sites falsos do Clubhouse. Esses sites, hospedados na Rússia, pediam aos visitantes que baixassem o aplicativo, que prometiam ser apenas a versão mais recente do produto: “Tentamos tornar a experiência o mais suave possível. Você pode conferir agora mesmo! ” um proclama.

No entanto, uma vez baixado, o aplicativo começa a sinalizar para um servidor de comando e controle (C&C). Em ataques cibernéticos, o C&C é normalmente o servidor que informa o malware o que fazer depois de infectar um sistema. O teste do aplicativo por meio da sandbox de análise de malware VMRay aparentemente mostrou que, em uma instância, ele tentou infectar um computador com ransomware.

Tirar proveito de um novo produto popular para implantar malware é uma jogada bastante clássica do cibercriminoso - e dada a proeminência do Clubhouse no momento, não é surpresa que isso esteja acontecendo. Na verdade, pesquisadores descobriram recentemente um aplicativo Clubhouse falso diferente. Lukas Stefanko, da empresa de segurança ESET, reveloucomo outra “versão Android” fictícia do aplicativo estava agindo como uma fachada para criminosos que buscavam roubar as credenciais de login dos usuários de outros serviços.

Felizmente, não parece que esta campanha mais recente foi muito popular, já que o TechCrunch relata que as páginas do Facebook associadas ao aplicativo falso tiveram apenas alguns curtidas.

É um pequeno incidente interessante, embora possa ser difícil descobrir mais sobre esta campanha complicada porque os sites que hospedam o aplicativo falso aparentemente desapareceram. A remoção dos sites parece ter desativado o malware. O Facebook também retirou os anúncios associados à campanha.

No Internet Connection