Um novo relatório publicado pela Check Point Research (CPR) alerta os utilizadores de MacOS para uma nova cadeia de malware que evoluiu para infostealer. O então apelidado “XLoader” deriva da famosa cadeia de malware “Formbook”. Se por um lado a cadeia original visava predominantemente os utilizadores Windows, o novo XLoader começa a afetar também muitos utilizadores do MacOS.
Tal como acontece com tantos outros malwares, também o XLoader tem os emails falsos como principal forma de distribuição, habitualmente disfarçado de ficheiros Microsoft Office. Mais alarmante ainda é o facto de que este malware está a ser comercializado por apenas 41 euros, sendo de muito fácil acesso para qualquer hacker.
Em Portugal, estima-se que que MacOS detém 18% de quota de mercado de sistemas operativos para computador.
Quais são as principais vítimas do malware XLoader?
A CPR acompanhou a atividade do XLoader entre os dias 1 de dezembro de 2020 e 1 de maio de 2021. Verificaram-se pedidos deste malware em 69 países. Até agora, mais de metade das vítimas reside nos Estados Unidos da América. Apesar de não existirem ainda dados nacionais, a distribuição mundial do malware apresenta-se desta forma:
Como é o processo de infeção e como podem os utilizadores MacOS protegerem-se?
Por norma, o XLoader é difundido por e-mails falsificados que incitam as vítimas a fazer download e abrir ficheiros maliciosos, habitualmente do Microsoft Office.
Para evitar a infeção, a CPR recomenda utilizadores de Mac e Windows a:
- Nunca abrir anexos maliciosos
- Evitar visitar websites suspeitos
- Utilizar fornecedores terceiros para proteção de software que ajudam a identificar e prevenir a entrada de malware no computador
Guia de deteção e remoção do malware
Uma vez que este malware é furtivo por natureza, é difícil para um olho “não técnico” reconhecer a infeção. Por conseguinte, se suspeitares que foste infetado, seria sensato consultar um profissional de segurança ou utilizar ferramentas e proteções de terceiros concebidas para identificar, bloquear e até removeres esta ameaça do teu computador. Para mais detalhes técnicos de assistência, a CPR recomenda ir à Autorun e:
- Verificar o nome de utilizador do sistema operativo
- Ir a /Users/[username]/Library/pasta LaunchAgents
- Procurar por ficheiros com nomes suspeitos. O seguinte exemplo é meramente ilustrativo: /Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
- Remover o ficheiro suspeito
Como parte do acompanhamento que fazemos do cibercrime, temos observado desenvolvimentos interessantes na já conhecida família de malware ‘Formbook’. Vemos uma cadeia de malware que deriva do malware Formbook original, chamada ‘XLoader’. Este malware é bastante mais maturo e sofisticado que os seus antecessores, na medida em que suporta diferentes sistemas operativos, especialmente computadores MacOS.
A verdade é que, historicamente, o malware para MacOS não tem sido muito comum. Encaixam-se normalmente na categoria ‘spyware’, e não causam muitos danos. Há uma crença comum incorreta de que os utilizadores da Apple e MacOS estão mais protegidos que outros utilizadores de outras plataformas mais comuns. Apesar de existir de facto uma diferença entre malware para Windows e MacOs, esta tem vindo a atenuar-se ao longo do tempo e o malware para MacOS é cada vez mais perigoso e mais comum.
Com a maior popularidade das plataformas com MacOS, faz sentido que os cibercriminosos mostrem mais interesse neste domínio. Antecipamos um crescendo de ameaças deste tipo e, como sempre, recomendamos os utilizadores a serem cautelosos com e-mails e anexos desconhecidos.
Yaniv Balmas, Head of Cyber Research da Check Point Software Technologies
Outros artigos interessantes: