A Intego detalhou como funciona o OSX/Amos, um malware que tem como alvo usuários do macOS — que são enganados ao tentarem baixar aplicativos legítimos multiplataforma desenvolvidos em Electron.
Esse ataque é conhecido por substituir o arquivo central de determinado aplicativo, conhecido como ASAR (Atom Shell Archive), por uma versão adulterada que contém a lógica maliciosa geralmente imperceptível.
Posts relacionados
- Invasores usam ChatGPT e Grok para distribuir malware em Macs
- Golpistas distribuem apps falsos para o macOS no GitHub
- Variante do malware AMOS mira o macOS com falsas páginas de suporte
No caso específico relatado pela Intego, o malware se disfarçou como o aplicativo Ledger Wallet (anteriormente Ledger Live), uma carteira de criptomoedas bastante conhecida, usando um ataque que combina duas técnicas para roubar as vítimas.
A primeira delas é a phishing, que consiste na injeção de arquivos HTML que sobrepõem a interface real do aplicativo e solicitam que o usuário digite a frase de recuperação secreta do software, de 12 ou 24 palavras.
Na segunda fase, o malware injeta um comando que desativa a validação de certificados de segurança TLS no app para permitir que os dados sejam enviados aos seus servidores sem erros ou travamentos.
Assim que a vítima digita sua frase de recuperação no passo final da tela falsa, o malware usa funções padrão de envio de dados para transmitir as informações em segundo plano, completando o ciclo com sucesso.
Para evitar ser alvo do malware, usuários devem prestar muita atenção às fontes de download dos apps que instalam em suas máquinas. Vale também considerar o uso de soluções de proteção contra ameaças.