Informação

Pesquisadores de cibersegurança descobriram uma nova variante do malware MacSync, um ladrão de informações para macOS, que é distribuído por meio de um aplicativo Swift assinado digitalmente e notariado, disfarçado como instalador de um aplicativo de mensagens. Essa abordagem visa contornar as verificações de segurança da Apple, como o Gatekeeper. Ao contrário de variantes anteriores que utilizavam técnicas de arrastar para o terminal, esta versão adota uma abordagem mais enganosa e automatizada. O instalador, nomeado ‘zk-call-messenger-installer-3.9.2-lts.dmg’, foi encontrado em um site específico e, apesar de ser assinado, exibe instruções para que os usuários abram o aplicativo manualmente, uma tática comum para evitar bloqueios. O dropper em Swift realiza várias verificações antes de baixar e executar um script codificado, incluindo a validação da conectividade com a internet e a remoção de atributos de quarentena. Além disso, a nova variante apresenta mudanças significativas na forma como o payload é recuperado, utilizando comandos que visam melhorar a confiabilidade e evitar detecções. A inclusão de documentos PDF irrelevantes no DMG também serve como uma técnica de evasão, aumentando o tamanho do arquivo para 25,5 MB. O MacSync, uma versão rebranded do Mac.c, possui capacidades de controle remoto além do roubo de dados, refletindo uma tendência crescente de malware que se disfarça como aplicativos legítimos.

O malware Rhadamanthys, promovido por um ator de ameaças conhecido como kingcrete2022, se destaca como um dos principais ladrões de informações disponíveis sob o modelo de malware-as-a-service (MaaS). Com a versão 0.9.2, o software agora coleta impressões digitais de dispositivos e navegadores, ampliando suas capacidades além da simples coleta de dados. A Check Point revelou que os desenvolvedores rebranding como ‘RHAD security’ e ‘Mythical Origin Labs’ estão oferecendo pacotes que variam de $299 a $499 por mês, indicando uma profissionalização do serviço. A nova versão inclui recursos para evitar a detecção, como alertas que permitem a execução do malware sem danos ao sistema. Além disso, o malware utiliza técnicas de esteganografia para ocultar seu payload, que é extraído e executado após uma série de verificações para evitar ambientes de sandbox. A evolução do Rhadamanthys, com a adição de um runner Lua para plugins, representa uma ameaça crescente à segurança pessoal e corporativa, exigindo atenção contínua dos profissionais de segurança.