Cavalo de Troia para macOS é atualizado: disfarçado como aplicativo assinado, apresenta riscos mais ocultos para usuários de criptomoedas

BlockBeats notícia, em 23 de dezembro, o Diretor de Segurança da Informação da SlowMist, 23pds, compartilhou que o malware MacSync Stealer, ativo na plataforma macOS, já apresentou uma evolução significativa e houve usuários que tiveram seus ativos roubados. O artigo compartilhado menciona que, desde os métodos iniciais de indução de baixo nível, como "arrastar para o terminal" e "ClickFix", o malware evoluiu para um aplicativo Swift assinado com código e autenticado pela Apple (notarized), aumentando consideravelmente sua furtividade.

Pesquisadores descobriram que este exemplar é distribuído como uma imagem de disco chamada zk-call-messenger-installer-3.9.2-lts.dmg, disfarçada como um aplicativo de mensagens instantâneas ou ferramenta utilitária para induzir o usuário a fazer o download. Diferente das versões anteriores, a nova versão não exige nenhuma operação no terminal por parte do usuário, pois um programa auxiliar em Swift embutido puxa e executa scripts codificados de um servidor remoto, completando o processo de roubo de informações.

Este programa malicioso já foi assinado com código e autenticado pela Apple, com o ID da equipe de desenvolvedores GNJLS3UYZ4, e o hash correspondente ainda não havia sido revogado pela Apple no momento da análise. Isso significa que, sob os mecanismos de segurança padrão do macOS, ele possui maior "credibilidade" e é mais fácil de contornar a vigilância do usuário. A pesquisa também revelou que o DMG tem um tamanho anormalmente grande, contendo arquivos isca como PDFs relacionados ao LibreOffice, para reduzir ainda mais a suspeita.

Pesquisadores de segurança apontam que este tipo de trojan de roubo de informações geralmente tem como principais alvos dados de navegador, credenciais de contas e informações de carteiras de criptomoedas. Com o uso sistemático de assinaturas e autenticação da Apple por parte de malwares, os usuários de criptoativos em ambientes macOS enfrentam riscos crescentes de phishing e vazamento de chaves privadas.