Os desenvolvedores de um malware para macOS chamado MacSync Stealer, que surgiu originalmente há cerca de seis meses, atualizaram seu mecanismo de distribuição a fim de eliminar a necessidade de interação direta com o Terminal.
Agora, os invasores usam um aplicativo Swift assinado/autenticado e que, em si, não contém código malicioso. No entanto, o software recupera um script criptografado de um servidor remoto, que é então executado para instalar o malware.
Posts relacionados
- Invasores usam ChatGPT e Grok para distribuir malware em Macs
- ChillyHell: malware para macOS se manteve indetectável por quatro anos
- JSCoreRunner: novo malware para macOS mira usuários do Chrome
Segundo o SecurityWeek, a equipe da Jamf (que desvendou o malware) disse que essa mudança na distribuição reflete uma tendência mais ampla no cenário de softwares maliciosos para macOS, de modo que os invasores tentam cada vez mais inserir truques em aplicativos assinados e autenticados — permitindo que esses aplicativos se pareçam mais com softwares legítimos.
A Jamf afirma ter reportado o ID do desenvolvedor à Apple — e a empresa já até revogou o certificado do invasor. De qualquer forma, a dica é sempre a mesma: instale aplicativos somente da Mac App Store ou de sites de desenvolvedores/empresas confiáveis.
via 9to5Mac