Analysis
Um grande parte das famílias de malware estão ligadas a grupos oriundos da China
09/01/2023
Foram descobertas 13 novas famílias de malware no macOS em 2022, muitas delas ligadas à China. A compilação, feita pelo especialista Patrick Wardle, conta com vários tipos de malware que vão desde infostealers a loaders, mineradores de criptomoedas ou backdoors. A lista demonstra um crescimento, uma vez que em 2021 foram detetadas apenas oito famílias de malware. O primeiro malware a emergir em 2022 foi o SysJoker, um backdoor de plataforma cruzada utilizado por um ator APT em ataques direcionados, que teve como alvo uma instituição de ensino. O segundo foi o DazzleSpy, um infostealer e backdoor utilizado como parte de uma campanha de ciberespionagem patrocinada pelo Estado chinês contra ativistas pró-democracia em Honk Kong. Um outro malware descoberto foi denominado VPN Trojan e descrito como um backdoor persistente. Na lista segue-se o oRAT, ligado a um grupo APT chinês, e o Go-written, que possui uma longa lista de capacidades de ciberespionagem. Acredita-se, também, que um grupo de ciberespionagem chinês está por detrás de um backdoor chamado Rshell, entregue através da cadeia de valor. O malware Gimmick, que utiliza fornecedores de cloud em Command and Control (C&C), também foi ligado a espiões chineses. A nação encontra-se, ainda, ligada a um framework de ataques apelidado Alchimist, que visa dipositivos Windows, Linux e macOS. Já o trojan de acesso remoto (RAT), chamado Insekt, pode executar comandos e recolher informações, mas as suas capacidades na versão macOS são desconhecidas. Adicionalmente, o CloudMensis tem sido utilizado para roubar informações, incluindo documentos, imagens e keystrokes. O especialista conta que três das famílias de malware recorrem a typosquatting para se espalharem: o malware CrateDepression – que aproveitou a popularidade do crate Rust para infetar os dispositivos –, o Pymafka – que se fez passar por um pacote do Python para instalar o agente Cobalt Strike –, e o SentineSneak – que, disfarçado de SentinelOne SDK, tentou exfiltrar dados sensíveis. Finalmente, a lista inclui o KeySteal, um stealer keychain entregue através de versões ‘trojanizadas’ de uma app gratuita, e o minerador de criptomoedas CoinMiner, que utiliza vários componentes de open source e I2P. |