Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.
Fonte: https://cyberpress.org/ev-code-signing-malware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
01/10/2025 • Risco: ALTO
MALWARE
Cibercriminosos Usam Certificados EV para Ocultar Malware DMG
RESUMO EXECUTIVO
A utilização de certificados EV fraudulentos para distribuir malware no macOS representa uma ameaça significativa para a segurança cibernética. O impacto potencial inclui a exfiltração de dados sensíveis e a violação de conformidade com a LGPD, exigindo atenção imediata dos CISOs.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido à exfiltração de dados sensíveis e à perda de confiança do cliente.
Operacional
Exfiltração de dados sensíveis, incluindo credenciais de navegador e informações de carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'E-commerce']
📊 INDICADORES CHAVE
Malware relatado como totalmente indetectável em verificações do VirusTotal.
Indicador
Certificados EV são ativos raros e valiosos no submundo cibernético.
Contexto BR
O malware exfiltra dados de múltiplas fontes, incluindo navegadores e carteiras de criptomoedas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de DMGs suspeitos e monitorar logs de segurança para atividades incomuns.
2
Implementar políticas de segurança que restrinjam a instalação de software não verificado e reforçar a educação dos usuários sobre os riscos de malware.
3
Monitorar continuamente as atividades de rede e os logs de acesso para identificar possíveis tentativas de exfiltração de dados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas infraestruturas, especialmente em relação a ataques que utilizam certificados legítimos para enganar usuários e sistemas de segurança.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
