Más notícias para donos de Macs — uma nova e outra nem tanto. A “novidade” é que um malware foi recém-descoberto, e a outra, não tão inédita assim, é que ele se disfarça de instalador do Flash Player, da Adobe, para invadir essas máquinas.
O malware foi identificado pelo pessoal da Intego (criadora do VirusBarrier X9) e, até então, possui uma taxa de detecção de 0/60 entre todos os mecanismos antivírus do VirusTotal — o primeiro software capaz de detectá-lo e removê-lo, portanto, é o VirusBarrier.
A Intego identificou o malware como uma nova variante do Shlayer, cuja versão original foi revelada em 2018 — se tornando, inclusive, a ameaça mais disseminada entre Macs em 2019. O malware também tem traços do Bundlore e de adwares como MacOffers, Mughthesec, BundleMeUp e Adload.
Como ele é instalado?
Como dissemos, malwares se disfarçam de instaladores falsos do Flash Player para invadir Macs há muito tempo. Da mesma forma, a variante do Shlayer recém-descoberta é instalada a partir de um cavalo de Troia disfarçado do software da Adobe (que pode ser bastante convincente).
Depois que o instalador fraudulento do Flash Player for baixado e aberto no Mac da vítima, a imagem do disco (.dmg
) é aberta e exibe instruções sobre como instalá-lo.
A Intego afirma que o malware está se espalhando ativamente na web a partir de resultados do Google, portanto basta clicar em um link malicioso para que o download dele seja feito.
Com ele ataca?
Embora o instalador tenha um ícone do Flash Player e pareça um aplicativo normal, ele atua, na verdade, como um shell script para abrir e executar ações no Terminal.
Enquanto o script é executado, ele extrai um arquivo .zip
embutido e protegido por senha que contém um pacote de arquivos maliciosos. Depois de instalá-lo em uma pasta temporária (oculta), ele fecha o Terminal e passa a funcionar por conta própria. Tudo isso ocorre em uma fração de segundo.
Depois que o aplicativo é iniciado, ele faz o download de um instalador legítimo do Flash Player assinado pela Adobe para que ele pareça genuíno — mas o aplicativo oculto foi projetado para também ter a capacidade de baixar qualquer outro pacote de malware ou adware, a critério dos crackers que controlam os servidores do malware.
O que pode ser feito?
Embora o malware tenha sido encontrado nos resultados de pesquisa do Google, o mesmo poderia acontecer com qualquer mecanismo de pesquisa (Bing, Yahoo, DuckDuckGo, etc.). Além disso, novos malwares são constantemente lançados e explorados por agentes maliciosos — portanto, é uma tarefa incansável para essas empresas tentar impedir que esses softwares sejam espalhados por meio dos seus sistemas.
Não obstante, para esse malware especificamente, ainda não está claro quantos sites estão infectados e quantas variedades de resultados de pesquisa levam à sua instalação. De qualquer forma, apenas softwares de antivírus podem detectar e eliminar o malware — presumivelmente, outras soluções de terceiros poderão ser lançadas em breve.
Felizmente, o Flash Player será descontinuado no fim deste ano, o que certamente contribuirá para que menos malwares se escorem no plugin da Adobe para invadir Macs e PCs — pelo menos isso é o que esperamos…