O Mac OS X precisa de anti-malware?

Para quem já fez ou ouviu esta pergunta, a resposta é sim, o Mac OS X precisa de um anti-malware.

A equipe da Sophos, empresa desenvolvedora e fornecedora de software e de hardware de segurança, apresentou em um artigo um malware para roubo de dados, destinado a usuários de Mac.

O malware era um daqueles e-mails “item de correio não entregue”, ligados a um servidor web desonesto que adivinhou se o usuário estava executando o Windows ou o OS X. A ideia deste malware é surpreendente simples: o usuário recebe um e-mail de uma empresa de courier que está tendo problemas para entregar o produto. No e-mail, há um link ou um anexo contendo o que pretende ser uma nota de rastreamento para o item. O usuário é convidado a analisar o documento e o responder para que a entrega possa ser concluída.

Os golpistas usam nomes de empresas de courier já conhecidas ou inventam uma empresa para esse fim, criando sites, etc.

Um golpe de correio bem executado pode ser bastante convincente, especialmente se os criminosos sabem o suficiente do usuário para criar um ataque direcionado. Mesmo com poucos detalhes, é possível aplicar o golpe. Por exemplo, o ataque soará muito mais crível se o golpista souber o seu endereço, o seu número de telefone, o que você faz no trabalho e ter uma ideia geral sobre os projetos que você está trabalhando no momento.

Se o usuário abrir o anexo ou clicar no link em um desses e-mails de golpe, ele é imediatamente colocado em perigo, pois o link pode atacar um plugin Java sem correções no seu browser, por exemplo.

Confira abaixo o exemplo de um e-mail de ataque:

Um falante nativo de inglês irá notar que o texto do e-mail é desajeitado e se receber uma mensagem como essa pode muito bem suspeitar dela sozinho. Mas se o usuário realmente está no ramo de engenharia, como cita o e-mail, e regularmente lida com documentos de entrada de empresas de courier em todo o mundo, um e-mail desse tipo poderia facilmente passar por verdadeiro. O link não leva ao endereço indicado, mas sim, a um nome de domínio, que é controlado pelos atacantes.

Se o usuário estiver em um dispositivo móvel, o servidor apresenta uma mensagem de erro. Se estiver usando um navegador de desktop que não é o Safari, irá receber um arquivo ZIP que contém um programa do Windows detectado pela Sophos Anti-Virus como Mal/VBCheMan-C, um parente do malware Zbot ou Zeus.

Se o usuário estiver usando o Safari, recebe um Mac malware, entregue como um pacote de aplicativos dentro de um arquivo ZIP. Por padrão, no Mac OS X 10.9.1, o Safari transfere diretamente o arquivo, mostrando uma janela de navegação vazia com o ícone do arquivo baixado no Dock na parte inferior da tela, conforme abaixo:

O botão de download mostra o que parece ser um arquivo PDF, mas uma visita ao Windows Terminal revela que não há nenhum arquivo desse tipo. O Safari automaticamente produziu um conjunto de aplicativos, uma árvore subdiretório com uma estrutura especial, a qual foi deliberadamente dado um ícone PDF.

A tentação para clicar no que parece ser um arquivo PDF e ver o que ele contém é grande. O OS X não avisa o usuário que ele não está abrindo um documento. O aviso seria mais convincente se explicitamente dissesse que o usuário está prestes a “executar um programa de software“, em vez de simplesmente “abrir” o arquivo:

Ao clicar no botão Open, nada parece acontecer: a tela volta ao desktop com o software de e-mail aberto e uma janela vazia Safari na frente dele. Mas uma verificada no Terminal mostra que o que parecia ser um arquivo PDF está em execução em segundo plano como um processo chamado foung:

Foung é um bot, abreviação de “malware robô”, detectado pela Sophos Anti-Virus como OSX/Laoshu-A. Suas funções primárias parecem estar mais intimamente associadas com o roubo de dados. Os atacantes parecem mais preocupados em vasculhar em volta do computador para descobrir o que podem roubar do que com o “empréstimo” do equipamento e da conexão da internet para outras atividades que os cibercriminosos incitam.

Entre outras coisas, o Laoshu-A contém códigos para:

- procurar arquivos com extensões como doc, docx, xls, xlsx, ppt e pptx;

- ZIP desses arquivos;

- carregá-los para um servidor operado pelos atacantes;

- baixar novos arquivos;

- executar comandos shell arbitrários.

A intenção é que esse malware lembre aos usuários OS X de algumas verdades simples que alguns fãs de Mac ainda parecem dispostos a ignorar:

- Mac malware é incomum, mas não impossível.

- Ladrões de dados estão interessados no que os usuários de Mac têm em seus computadores.

- Mac malware não pede uma senha para ser executado.

- Mac malware pode ser executado diretamente a partir de um download, sem uma etapa de instalação.

- Bots e ratos são particularmente perniciosos, pois eles podem atualizar e adaptar o comportamento depois da infecção.

Fonte: http://nakedsecurity.sophos.com/2014/01/21/data-stealing-malware-targets-mac-users-in-undelivered-courier-item-attack/