Já faz 4 anos que não vemos um vírus ransomware dedicado inteiramente ao Mac, linha de computadores da Apple. Bom, parece que esse descanso acabou: o vírus que sequestra e criptografa seus dados também retransmite dados como senhas e códigos de carteiras de criptomoedas aos hackers.
LEIA MAIS: Universidade é vítima de ransomware e envia R$ 6 milhões em BTC
De acordo com Dinesh Devadoss, pesquisador de malwares na K7 Lab, um novo malware batizado de ThiefQuest está aterrorizando a rede mundial de computadores com capacidades múltiplas, incluindo spyware.
O componente de “espionagem” permite ao vírus extrair e retransmitir dados cruciais do computador, como senhas salvas e códigos de recuperação de carteiras de criptomoedas, cartões de crédito e outros dados adquiridos por keyloggers.
As informações exfiltradas ainda podem incluir dados de outros dispositivos sincronizados com o computador, utilizando do backdoor criado para retornar ao sistema sempre que for conveniente aos criminosos.
“Olhando para o código, se você separar a lógica do ransomware de toda a outra lógica de backdoor, as duas partes farão sentido como malware individual. Mas, compilando-as, você vê e pensa ‘o quê é isso?'” diz Patrick Wardle, pesquisador principal de segurança da empresa de gerenciamento de Macs Jamf.
“Meu pressentimento atual sobre tudo isso é que alguém basicamente estava projetando um pedaço de malware para Mac, que lhes daria a capacidade de controlar remotamente um sistema infectado. E então eles também adicionaram alguma capacidade de ransomware como uma maneira de ganhar dinheiro extra.”
O diretor da divisão de Mac e Mobiles no Malwarebytes, Thomas Reed, disse que o ransomware está se espalhando através de sites de programas pirateados de Torrents. Aplicativos como Little Snitch, Mixed in Key e Ableton são alguns dos que foram programados para se camuflar como “Programa de Updates do Google”.
O sistema operacional do Mac ainda avisa múltiplas vezes sobre as possíveis falhas de segurança no download e instalação de arquivos suspeitos e não recomendados pela empresa.
Até agora, nenhuma vítima pagou o resgate em Bitcoins ao endereço encontrado no código do ransomware.
“Penso que, se seu objetivo principal era a exfiltração de dados, você gostaria de ficar em segundo plano, agir de maneira mais silenciosa possível e ter as melhores chances de passar despercebido. Então, eu realmente não entendo o objetivo desse ransomware tão chamativo. Quando o instalei para teste, a cada 30 segundos o computador estava gritando comigo, bipando o tempo todo. É realmente barulhento tanto no sentido literal quanto no digital.”
Disse Thomas Reed, comentando sobre o código “incompleto” do vírus