Hackers norte-coreanos detectados espalhando novo malware para macOS
Hackers norte-coreanos implantam malware inovador visando macOS
Especialistas em segurança cibernética têm consistentemente sinalizado hackers norte-coreanos por suas intrusões cibernéticas descaradas, principalmente com o objetivo de roubar fundos para apoiar iniciativas estatais e fugir de sanções internacionais. Uma pesquisa recente conduzida pela Jamf revelou uma sofisticada cepa de malware vinculada a esses atores maliciosos. Esse malware em particular foi descoberto no VirusTotal, um serviço popular usado para escanear arquivos em busca de conteúdo malicioso; curiosamente, o malware foi inicialmente categorizado como “limpo”. O software malicioso vem em três versões diferentes: uma desenvolvida em Go, outra em Python e uma terceira utilizando Flutter.
Flutter: uma faca de dois gumes para desenvolvedores e criminosos cibernéticos
Flutter, uma estrutura de código aberto criada pelo Google, permite que desenvolvedores criem aplicativos para várias plataformas — como iOS e Android — a partir de uma única base de código Dart. Este utilitário multiplataforma torna o Flutter um recurso valioso para desenvolvedores legítimos, mas também serve como uma opção atraente para criminosos cibernéticos. A estrutura de código inerentemente complexa do Flutter pode obscurecer malware, tornando desafiador para os sistemas de segurança detectar ameaças potenciais.
A Ameaça Disfarçada: Um Jogo Clonado
O malware operava sob o disfarce de um jogo banal de Campo Minado, que havia sido clonado do GitHub. Sua intenção maliciosa estava escondida dentro de um arquivo Dynamic Library (dylib), que visava estabelecer uma conexão com um servidor de comando e controle (C2) localizado em mbupdate.linkpc.net. Este domínio tem associações anteriores com malware norte-coreano. Felizmente, quando a equipe Jamf investigou, eles descobriram que o servidor estava inativo, retornando apenas um erro “404 Not Found” — impedindo que o ataque se materializasse.
Execução enganosa e perigos potenciais
Um aspecto particularmente inteligente desse malware é sua capacidade de executar comandos AppleScript que são enviados do servidor C2, empregando uma técnica única de executá-los ao contrário para evitar a detecção. A experimentação de Jamf confirmou a capacidade do malware de executar remotamente qualquer comando AppleScript — incluindo aqueles que poderiam conceder aos hackers amplo controle sobre os sistemas infectados se a execução do ataque tivesse prosseguido.
Conclusões e Recomendações
Este incidente parece ser um teste preliminar dos hackers, indicando que eles estão aprimorando suas técnicas para escapar das medidas de segurança da Apple. Embora o Flutter em si não seja malicioso, seu design inerentemente ajuda a obscurecer códigos prejudiciais, destacando uma tendência preocupante na qual ferramentas de desenvolvimento legítimas estão sendo reaproveitadas para objetivos maliciosos. À medida que as ameaças à segurança cibernética evoluem, continua sendo imperativo que os usuários, especialmente aqueles em ambientes corporativos, permaneçam vigilantes e adotem as melhores práticas de segurança.
Deixe um comentário