O que um novo relatório de ameaças diz sobre malware para Mac em 2024

Durante anos, o macOS teve a reputação de ser resistente a malware, mas 2024 pintou um quadro diferente. Um aumento no número de malware direcionado a usuários do macOS – alimentado pelo surgimento de plataformas de malware como serviço (MaaS) e até mesmo de inteligência artificial – está mudando essa narrativa.

O Relatório de Ameaças do macOS de 2024 da Moonlock revela tendências alarmantes que estão transformando a plataforma da Apple em um alvo lucrativo para os cibercriminosos. O relatório analisa as táticas em evolução que os invasores estão usando, desde kits de malware plug-and-play baratos até explorações sofisticadas geradas por IA que contornam as principais proteções.

No entanto, muitos dos ataques não se devem a falhas no sistema. Em vez disso, resultam de usuários que desabilitam as proteções integradas ou são enganados para instalar software malicioso, intencionalmente ou acidentalmente.

Os cibercriminosos costumavam ignorar amplamente os Macs devido à sua menor base de usuários, mas agora veem a plataforma como outra oportunidade, além do eternamente atormentado Windows. O que é preocupante é o quão acessíveis se tornaram as ferramentas para explorar as vulnerabilidades do macOS.

Há uma década, a criação de malware para a plataforma exigia profundas habilidades técnicas e recursos computacionais. Agora, plataformas de malware como serviço, como o AMOS Stealer, estão reduzindo a barreira de entrada.

Por apenas US$ 1.500 por mês, até mesmo hackers inexperientes podem comprar um kit de ferramentas que automatiza o processo de roubo de dados do usuário. A acessibilidade abriu as comportas.

Outro fator que alimenta o aumento do malware é o uso de inteligência artificial. Como Moonlock revela, ferramentas de IA como o ChatGPT estão sendo usadas em fóruns da darknet para orientar os hackers através do processo de criação de malware, passo a passo.

Análise de malware. Crédito da imagem: Moonlock

Essas ferramentas podem gerar scripts, empacotar malware em arquivos de instalação e até mesmo ensinar aos invasores como contornar as proteções do Gatekeeper do macOS. O malware assistido por IA permite que até mesmo os novatos implantem ameaças que estariam fora de seu alcance apenas alguns anos atrás.

Os invasores contornam as proteções do Gatekeeper do macOS por meio de engenharia social e manipulação técnica, explorando a confiança do usuário e as vulnerabilidades do sistema. Esses cibercriminosos enganam os usuários para que desabilitem o Gatekeeper com avisos falsos ou instruções detalhadas que afirmam instalar software legítimo.

O malware disfarçado de aplicativos confiáveis ​​ou atualizações do sistema substitui os avisos de segurança. Em alguns casos, os invasores obtêm ou roubam certificados válidos de desenvolvedor Apple para assinar seu software malicioso, ignorando a verificação do Gatekeeper.

As ameaças para Mac têm sido dominadas por adware e ransomware há anos. Essas ferramentas, projetadas para irritar ou extorquir usuários, vigoraram até 2024.

As campanhas de adware são menos lucrativas devido à maior conscientização do usuário e melhores proteções. O ransomware no macOS não atingiu o mesmo nível de sofisticação ou sucesso que no Windows.

Em vez disso, os hackers estão recorrendo aos Stealers – malware projetado para coletar silenciosamente dados confidenciais, como senhas, cookies e detalhes de carteiras de criptomoedas.

Em agosto de 2024, pesquisadores de segurança descobriram o “Cthulhu Stealer”, um novo malware para macOS vendido a cibercriminosos por apenas US$ 500 por mês. O malware se disfarçou como software legítimo como Grand Theft Auto IV ou CleanMyMac para induzir os usuários a baixá-lo e instalá-lo.

Uma vez instalado, ele solicitava que os usuários inserissem informações confidenciais, que eram transmitidas aos invasores. Cthulhu Stealer compartilhou semelhanças com “Atomic Stealer”, sugerindo que os desenvolvedores reutilizaram o código.

Outro ladrão em agosto foi “Banshee Stealer”. Ele coletou informações extensas de sistemas infectados, incluindo detalhes do sistema, senhas e tipos de arquivos específicos. Utilizou técnicas de evasão, como identificação de ambientes virtuais e APIs para evitar a detecção, especialmente em sistemas de língua russa.

O malware foi distribuído como uma ferramenta premium em fóruns clandestinos, com um preço exorbitante de US$ 3.000 por mês, indicando sua sofisticação e uso pretendido por cibercriminosos graves. No entanto, não há nenhuma indicação clara de que a Apple tenha corrigido o Banshee.

Enquanto isso, em setembro de 2024, especialistas em segurança cibernética descobriram uma nova ameaça ao macOS chamada HZ Remote Access Tool (HZ RAT). O malware concedeu aos invasores controle administrativo total sobre os sistemas infectados.

O HZ RAT normalmente era distribuído por meio de versões adulteradas de aplicativos populares como o OpenVPN Connect. Uma vez instalado, ele instalou software adicional, capturou capturas de tela, registrou pressionamentos de tecla e acessou dados do usuário de aplicativos como WeChat e DingTalk.

O malware também estabeleceu acesso persistente ao sistema criando tarefas agendadas ou modificando scripts de inicialização, garantindo que ele fosse recarregado após reinicializações. Comunicava-se com servidores de comando e controle na China para transmitir dados roubados e receber instruções.

O HZ RAT permitiu que invasores instalassem cargas adicionais, escalando atividades como implantação de ransomware, exfiltração de dados confidenciais ou uso do sistema infectado em uma botnet. A capacidade de vários estágios do HZ RAT o tornou uma ferramenta versátil e perigosa.

Compreender como os invasores exploram vulnerabilidades e seus métodos em evolução é uma forma de permanecer protegido.

Os hackers podem empregar truques para convencer os usuários a substituir manualmente as proteções do macOS, como apresentar avisos falsos que parecem legítimos.

Usando ChatGPT para malware. Crédito da imagem: Moonlock

A engenharia social ignora totalmente o Gatekeeper, dando liberdade ao malware depois de instalado. Para usuários que confiam há muito tempo nas proteções integradas do macOS, este é um alerta para examinar cada pop-up e prompt.

Além da engenharia social, os invasores estão aproveitando ferramentas poderosas para ganhar posição em dispositivos macOS. O malware backdoor, que permite acesso persistente aos sistemas, teve um aumento significativo na atividade em 2024.

Esses backdoors geralmente funcionam em conjunto com explorações – vulnerabilidades de software que os invasores usam para violar as defesas de um sistema. Os dados de Moonlock revelaram aumentos acentuados nestes ataques coordenados, especialmente durante campanhas direcionadas em abril de 2024.

A Apple abordou vulnerabilidades destacadas no Relatório de ameaças macOS de 2024 da Moonlock. Em novembro de 2024, lançou atualizações para iOS 18.1.1 e macOS Sequoia 15.1.1 para corrigir vulnerabilidades de dia zero (CVE-2024-44308 e CVE-2024-44309) em JavaScriptCore e WebKit.

Além disso, em setembro de 2024, a Apple corrigiu uma vulnerabilidade que permitia que atores mal-intencionados contornassem as proteções do Gatekeeper usando arquivos ZIP especialmente criados.

Embora os ladrões estejam aumentando, sua eficácia é limitada em comparação com ataques sofisticados ao Windows. A arquitetura e as proteções padrão do Mac representam obstáculos significativos para os hackers.

A maioria dos Stealers não possui mecanismos avançados de ofuscação e persistência, contando com erros básicos do usuário. Para usuários que mantêm os sistemas atualizados, usam a Mac App Store e desativam recursos de segurança, o risco é baixo.

A Apple leva essas ameaças a sério, com atualizações como a remoção de “Control Click” e patches para vulnerabilidades de desvio do Gatekeeper. Combinado com melhorias no XProtect e atualizações regulares do sistema, as defesas do Mac permanecem fortes.

O cenário de malware para macOS em 2024 é complicado. Por um lado, ferramentas como Cthulhu Stealer e AMOS Stealer parecem alarmantes. Mas quando você olha mais de perto, não há muitas evidências de ataques massivos e em larga escala.

A maior parte da actividade envolve incidentes de pequena escala ou riscos teóricos, em vez de danos generalizados. Dito isto, a percepção da segurança do macOS está mudando.

No entanto, ainda é possível manter-se protegido. Muitos ataques dependem de engenharia social, enganando os usuários para que contornem suas próprias configurações de segurança. Proteção no Mac significa examinar minuciosamente todos os prompts do sistema, evitar downloads suspeitos e evitar links desconhecidos.

Os usuários também devem contar com fontes confiáveis, como a Mac App Store, para downloads de software e verificar novamente as permissões solicitadas pelos aplicativos instalados.

Manter o software atualizado é outro pilar da segurança. A Apple lança regularmente patches para solucionar vulnerabilidades. A instalação de atualizações garante que seu sistema se beneficie das defesas mais recentes contra explorações ativas.

Vendo AMOS. Crédito da imagem: Moonlock

Vale a pena considerar investir em proteção adicional. Ferramentas como software de detecção e resposta de endpoint (EDR) ou soluções antivírus confiáveis ​​podem fornecer uma camada extra de defesa.

A educação também é importante. Manter-se informado sobre as ameaças de segurança mais recentes pode capacitar os usuários a tomar melhores decisões.

O relatório Moonlock revela uma mudança na forma como os invasores veem o macOS. À medida que a base de usuários da plataforma cresce, ela naturalmente se torna um alvo maior para os cibercriminosos.

Isso não ocorre porque o macOS seja inerentemente menos seguro do que antes, mas porque os invasores veem mais valor em atacá-lo. As ferramentas e técnicas para contornar as proteções do macOS também se tornaram mais acessíveis, tornando mais fácil para invasores ainda menos experientes perseguirem os usuários.

Uma conclusão importante é o quanto esses ataques dependem do comportamento do usuário. Muitas violações bem-sucedidas não dependem de explorações avançadas, mas aproveitam usuários que ignoram proteções como o Gatekeeper ou caem em esquemas de phishing.

Malwares como AMOS e Cthulhu Stealer prosperam com truques do usuário para conceder permissões ou baixar software aparentemente legítimo. Manter-se informado sobre ameaças, evitar downloads não confiáveis ​​e ativar proteções do sistema são cruciais para usuários do macOS.