A Intego detalhou como funciona o OSX/Amos, malware que tem como alvo usuários do macOS, os quais são enganados ao tentar baixar aplicativos legítimos multiplataforma desenvolvidos em Electron.
Esse ataque é conhecido por substituir o arquivo central de determinado aplicativo, conhecido como ASAR (Atom Shell Archive), por uma versão adulterada que contém a lógica maliciosa, geralmente imperceptível.
Posts relacionados
- Invasores usam ChatGPT e Grok para distribuir malware em Macs
- Golpistas distribuem apps falsos para o macOS no GitHub
- Variante do malware AMOS mira o macOS com falsas páginas de suporte
No caso específico relatado pela Intego, o malware se disfarçou como o aplicativo Ledger Wallet (anteriormente Ledger Live), uma carteira de criptomoedas bastante conhecida, usando um ataque que combina duas técnicas para roubar dados das vítimas.
A primeira delas é a de phishing, a qual consiste na injeção de arquivos HTML que sobrepõem a interface real do aplicativo e solicitam que o usuário digite a frase de recuperação secreta do software, de 12 ou 24 palavras.
Na segunda fase, o malware injeta um comando que desativa a validação de certificados de segurança TLS no app para permitir que os dados sejam enviados aos servidores dos atacantes sem erros ou travamentos.
Assim que a vítima digita sua frase de recuperação na etapa final da interface falsa, o malware usa funções padrão de envio de dados para transmitir as informações em segundo plano, completando o ataque com sucesso.
Para evitar ser alvo do malware, usuários devem prestar muita atenção às fontes de download dos apps que instalam em suas máquinas. Também é recomendável considerar o uso de soluções de proteção contra ameaças.