Uma nova maneira de propagar malwares no macOS vem chamando a atenção de pesquisadores de segurança, já que agentes mal-intencionados se aproveitam de hábitos comuns de desenvolvedores para convencê-los a executar códigos maliciosos e potencialmente roubar suas informações.
Um desses malwares, monitorado por pesquisadores da Jamf, é o GhostClaw, que faz referência ao OpenClaw, o qual se tornou um popular software de automação de inteligência artificial para desenvolvedores. Invasores estão criando repositórios no GitHub e pacotes de instalação falsos da plataforma para enganar usuários interessados.
Posts relacionados
- DarkSword: suposto malware russo invade iPhones desatualizados
- Novo ataque usa falsos CAPTCHAs para instalar malwares no macOS
- Grupo usa engenharia social para invadir Mac e instalar família de malwares
O modus operandi do ataque é bastante simples. Primeiro, o usuário (geralmente um desenvolvedor) encontra um projeto aparentemente legítimo no GitHub ou uma página com instruções para executar um pacote, então segue passos e comandos aparentemente normais para executá-lo usando o Terminal.
Para passar confiança, os atacantes imitam sinais legítimos, como uma página de informações (README) bem escrita, instruções claras, nomes de arquivos plausíveis e até mesmo avaliações infladas — o que faz com que a vítima se sinta segura para executar comandos corriqueiros, como um npm install da vida.
É aí que entra o pulo do gato: dentro dos arquivos de instalação, estão escondidos scripts maliciosos que, quando executados, podem roubar tokens de autenticação, capturar cookies de navegador, acessar carteiras de criptomoedas, coletar arquivos locais e até mesmo obter acesso permanente ao disco.
Esses dados são enviados para os servidores remotos, enquanto o malware continua rodando em segundo plano ou transforma a máquina em um ponto de acesso futuro. O ataque é eficaz por não depender diretamente de uma vulnerabilidade do sistema, mas da ação do usuário.
Para se proteger desse tipo de armadilha, é sempre bom prestar atenção no histórico de repositórios na web, revisar os arquivos baixados antes de executá-los e, é claro, evitar conceder acesso total ao disco no Mac a softwares baixados de fontes que não sejam comprovadamente seguras.
via AppleInsider