Malware do OS X recém-descoberto sugere o retorno da Hacking Team

A Hacking Team pode estar fazendo um retorno com o novo malware do Mac OS X

Uma amostra de malware do OS X recentemente descoberta sugere que pode estar vindo da Hacking Team, a controversa empresa italiana que vende software de vigilância para governos. O vendedor de exploits está retornando ao mercado após um ciberataque desastroso, onde seus dados foram divulgados em mãos públicas, incluindo o código-fonte de todo o seu software.

De acordo com os pesquisadores de segurança, o novo malware do OS X encontrado na natureza é provavelmente uma nova versão do antigo malware para Mac da Hacking Team. A amostra, segundo eles, é composta principalmente do mesmo código que o antigo malware da Hacking Team para Mac OS X, mas possui novos componentes que ajudam a permanecer indetectável.

Os pesquisadores também observam que o malware instala uma cópia da plataforma de comprometimento Remote Code Systems (RCS) da empresa de software, levando-os a acreditar que a infame e controversa empresa italiana está de volta.

O malware em questão instala diferentes programas em um computador. Desta vez, o malware é um “dropper”, que é usado para plantar outro software em um computador e parece instalar o RCS da Hacking Team. “O dropper está usando mais ou menos as mesmas técnicas que amostras mais antigas do RCS da Hacking Team, e seu código é mais ou menos o mesmo”, escreveu o pesquisador de segurança Pedro Vilaca.

A Hacking Team sofreu uma violação massiva em sua rede em julho passado, onde quase 400GB de dados, incluindo informações sensíveis, como o relacionamento da empresa com governos, e-mails, código-fonte e exploits, foram publicados online. O grupo tem estado misteriosamente silencioso desde então. “Ou esta é uma amostra antiga ou a Hacking Team ainda está usando a mesma base de código de antes do hack”, escreveu Vilaca. O grupo também foi acusado no passado por grupos de direitos humanos e privacidade de vender seu software para governos com péssimos históricos de direitos humanos.

No início deste mês, uma nova amostra de Trojan baseada em OS X chamada “Morcut” foi carregada no VirusTotal, de propriedade do Google, e na época, nenhum programa antivírus popular conseguiu detectá-la. Até agora, 15 programas antivírus, incluindo AVG, Eset-Nod 32, F-Secure, BitDefender e TrendMicro conseguiram detectá-la.

Patrick Wardle, da empresa de segurança Synack, acredita que o instalador foi atualizado pela última vez em outubro ou novembro do ano passado. Ele acrescentou que a amostra de malware utiliza a maior parte do mesmo código que o antigo malware da Hacking Team.

“Eu apenas encontrei algum código único neste dropper. Este código verifica versões mais novas do OS X e não existe no código-fonte vazado”, escreveu Vilaca. “Ou alguém está mantendo e atualizando o código da Hacking Team (por que diabos alguém faria isso!?!?!) ou esta é de fato uma amostra legítima compilada pela própria Hacking Team. A reutilização e repropósito do código-fonte de malware acontece (Zeus, por exemplo), mas meu instinto e indicadores parecem não apontar nessa direção.”

Não está claro como esse malware é instalado em um sistema. No entanto, Wardle descobriu uma maneira de verificar se o seu Mac está infectado com ele.

Aqui está como você pode verificar se está afetado:

• Para verificar se você está infectado, procure por Bs-V7qIU.cYL ou _9g4cBUb.psr que é colocado no diretório ~/Library/Preferences/8pHbqThW/.
• Se você encontrar algum desses códigos, exclua todo esse diretório e remova o arquivo ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.