Applescript

Novo malware para macOS rouba credenciais e dados sensíveis

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado PamStealer, que utiliza técnicas sofisticadas para infectar sistemas e roubar dados sensíveis. Distribuído como um arquivo AppleScript disfarçado de Maccy, um gerenciador de área de transferência legítimo, o PamStealer valida a senha de login da vítima através dos Módulos de Autenticação Pluggable (PAM) do macOS antes de capturá-la. O malware é entregue em duas etapas: um AppleScript que baixa um segundo payload, um infostealer baseado em Rust, capaz de roubar credenciais, coletar dados de navegadores e persistir no sistema. O vetor de ataque inicial é um site falso que imita o Maccy, e o script executa um downloader que busca o payload malicioso. O malware também possui características que evitam a execução em ambientes de análise e sistemas fora do Apple Silicon. Após a captura da senha, o malware exibe um alerta falso, enganando a vítima para descartar o aplicativo malicioso. O desenvolvedor do Maccy já emitiu um alerta sobre sites fraudulentos que distribuem essa ameaça. Essa evolução dos stealers para macOS destaca a necessidade de vigilância constante e medidas de segurança robustas.

Nova variante do infostealer SHub para macOS usa AppleScript

Uma nova variante do infostealer SHub, chamada Reaper, foi identificada como uma ameaça significativa para usuários de macOS. Utilizando AppleScript, o malware exibe uma mensagem falsa de atualização de segurança e instala uma backdoor no sistema. Ao contrário das campanhas anteriores que dependiam de táticas de ‘ClickFix’, o Reaper utiliza o esquema de URL applescript:// para lançar o Editor de Script do macOS com um AppleScript malicioso. Essa abordagem contorna as mitig ações introduzidas pela Apple em março de 2023, que bloqueavam comandos potencialmente prejudiciais no Terminal.

Hackers abusam do AppleScript para entregar malware no macOS

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.