Novo malware para atacar macOS pode tirar screenshots e roubar arquivos

Empresa de segurança ESET descobre malware "CloudMensis", que tem como alvo sistemas macOS e se atualiza as partir de serviços em nuvem

Bruno Ignacio

Um novo malware que visa sistemas macOS foi descoberto pela empresa de segurança ESET. Batizado de “CloudMensis”, o programa malicioso é capaz de espionar o computador da vítima sem ser detectado, podendo até mesmo tirar screenshots, acionar comandos remotamente e roubar arquivos. De acordo com os analistas, o vírus opera baseado em serviços de armazenamento em nuvem, mas ainda não se sabe como a infecção ocorre.

Segurança digital
Novo malware para Macs é descoberto (imagem: Darwin Laganzon/Pixabay)

A ESET descobriu esse malware para Mac ainda em abril, mas a divulgação do que foi encontrado ocorreu somente nesta semana. Os pesquisadores concluíram que os hackers parecem estar distribuindo o programa malicioso seletivamente, talvez para não chamar a atenção. Então, estima-se que o número de vítimas ainda seja baixo.

A empresa de segurança está chamando o programa de “CloudMensis”. O nome surgiu ao se descobrir que o malware depende de aplicativos de armazenamento em nuvem como Dropbox, Yandex, Disk, pCloud e possivelmente outros. Assim, o programa malicioso consegue realizar o download de componentes adicionais para seguir operando e aumentar ainda mais o nível da ameaça.

Essas unidades de armazenamento em nuvem também atuam como uma forma de o hacker enviar uma ampla variedade de comandos ao malware e receber os arquivos roubados. “A intenção dos invasores aqui é claramente roubar documentos, capturas de tela, anexos de e-mail e outros dados confidenciais”, acrescentou a ESET.

Imagem ilustrando como o CloudMansis opera
Imagem ilustrando como o CloudMensis opera (Imagem: Divulgação/ ESET)

Como o malware CloudMensis infecta Macs?

O maior mistério até o momento é como esse programa malicioso infecta os computadores com macOS. Segundo a ESET, os hackers também estão ganhando privilégios administrativos nos dispositivos, modificando assim arquivos de sistema quando necessário. Dessa maneira, é difícil dizer como o usuário pode se proteger contra essa nova ameaça.

Mesmo assim, a empresa de segurança foi capaz de descobrir um código importante do malware. Essa informação mostra que o programa malicioso foi inicialmente projetado para abusar de quatro vulnerabilidades específicas do macOS. A Apple corrigiu esses problemas ainda em 2017, sugerindo duas coisas: o malware existe há muito mais tempo do que imaginávamos e foi provavelmente atualizado ao longo dos anos.

Outra característica interessante do CloudMensis é como ele foi desenhado para roubar arquivos com as extensões .hwp e .hwpx, que são arquivos para o software sul-coreano Hancom Office. O código do malware também mostra que ele é capaz de atacar sistemas baseados em Intel, por mais que o macOS seja, aparentemente, seu alvo principal.

Número de vítimas é baixo

A ESET também analisou os endereços de armazenamento em nuvem com os quais o CloudMensis está se comunicando. Os metadados sugerem que “houve no máximo 51 vítimas” para uma configuração específica do malware entre 4 de fevereiro e 22 de abril de 2022. O número total de vítimas certamente é maior, mas ainda assim não deve ser tão alarmante.

Conforme disse a empresa, o CloudMensis é uma ameaça para usuários de Mac, mas sua distribuição muito limitada sugere que é usado como parte de uma operação direcionada”. A ESET também afirmou que nenhuma nova vulnerabilidade que poderia ser usada pelo malware foi encontrada. Até o momento, a única recomendação de seguranças para os usuários é manter seu Mac atualizado.

Com informações: PCmag, Bleeping Computer

Relacionados

Escrito por

Bruno Ignacio

Bruno Ignacio

Ex-autor

Bruno Ignacio é jornalista formado pela Faculdade Cásper Líbero. Cobre tecnologia desde 2018 e se especializou na cobertura de criptomoedas e blockchain, após fazer um curso no MIT sobre o assunto. Passou pelo jornal japonês The Asahi Shimbun, onde cobriu política, economia e grandes eventos na América Latina. No Tecnoblog, foi autor entre 2021 e 2022. Já escreveu para o Portal do Bitcoin e nas horas vagas está maratonando Star Wars ou jogando Genshin Impact.