Foi descoberto um malware que tem como objetivo roubar senha de usuários desavisados do macOS ao usar o jogo GTA VI e o aplicativo Notion, conhecido por ajudar na melhora da produtividade. De acordo com a Moonlock, divisão de cibersegurança da MacPaw, esse malware é um tipo de Cavalo de Troia bastante avançado.

Ele consegue roubar dados como logins, senhas e também consegue enviar, através de email ou conexões remotas, as informações locais da vítima para o autor do ataque.

Além de ser um malware altamente refinado, ele ainda usa como disfarce o famoso GTA VI, que ainda nem mesmo foi lançado, e uma versão pirateada do Notion para pegar de surpresa os usuários mais leigos.

Esses falsos aplicativos ainda conseguem encontrar formas de burlar o Gatekeeper, que serve justamente para evitar que esses tipos de arquivos não verificados e potencialmente maliciosos sejam instalados no macOS.

Para conseguir burlar o Gatekeeper, o criminoso induz a vítima a abrir o menu de opções de um arquivo DMG, e pronto — após executado, o arquivo DMG liberará um arquivo Mach-O chamado AppleApp, que iniciará o trabalho de roubo dos dados do usuário.

Posteriormente, AppleApp inicia uma solicitação GET para um URL específico originado de um endereço IP russo. Se a conexão for bem-sucedida, o programa começará a baixar uma carga AppleScript e Bash parcialmente ofuscada. Essa carga útil é executada diretamente a partir da memória do aplicativo, ignorando o sistema de arquivos”

Depois de ser executado, essa carga útil passa a trabalhar com uma abordagem de múltiplos passos para finalmente roubar os dados e se instalar no sistema macOS. Esses passos são, respectivamente, na seguinte ordem: phishing para credenciais, roubo de dados sensíveis, perfil do sistema e, por fim, exfiltração de outros dados pessoais.

No macOS, os dados armazenados de forma local, como senhas salvas em navegadores, cookies, etc., são protegidos por Keychain que por sua vez só pode ser acessado com a senha do sistema do usuário e é aí que o malware se prova ainda mais perigoso e engenhoso!

Ele faz com que uma falsa janela para um aplicativo auxiliar apareça com o intuito de explorar a confiança do usuário para que ele coloque suas informações no sistema. O que por sua vez permitirá ao malware acesso total ao Keychain da vítima.

Para finalizar, o malware faz com que o seu avançado AppleScripts estabeleça dados em uma pasta secreta que fica localizada nos diretórios pessoais dos usuários. Ou seja, toda e qualquer senha, login e coisas do tipo serão armazenados para aguardar a extração feita do PC da vítima para um servidor externo que tem como dono o cibercriminoso.

Esses truques de engenharia social, apesar de serem vistos como algo óbvio para outros, ainda fazem bastantes vítimas ao explorar sua confiança no renome das marcas, então até mesmo os mais habituados precisam ter cuidado visto o quão sofisticado estão ficando os malwares.