Atualizações Falsas

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.

Pesquisadores das empresas Red Canary e Zscaler identificaram novas táticas de phishing que utilizam atualizações falsas do navegador Chrome para disseminar ransomware. Essas campanhas têm se tornado cada vez mais sofisticadas, explorando não apenas mensagens enganosas sobre atualizações, mas também convites para reuniões em plataformas como Zoom e Teams, além de formulários de imposto de renda que parecem legítimos até para funcionários do governo. Uma das táticas mais comuns envolve a instalação de um instalador ITarian ao clicar em um botão de atualização falso, permitindo que os hackers tenham acesso administrativo aos sistemas. Alex Berninger, da Red Canary, destaca que a educação dos usuários é crucial, mas não suficiente, pois as técnicas de phishing estão em constante evolução. Para se proteger, as empresas devem implementar monitoramento de redes, detecção de endpoints e controles de ferramentas de gerenciamento remoto (RMM). Além disso, recomenda-se que os usuários instalem softwares apenas de fontes oficiais e utilizem serviços como VirusTotal para verificar arquivos suspeitos.