Malware do Windows adaptado para sistemas Mac OS X avistado na natureza

Pesquisadores estão analisando um novo código de um programa de backdoor de cinco anos usado no Windows, que descobriram ter sido integrado em um programa de spyware projetado para comprometer sistemas Mac OS X. Chamado de XSLCmd pelos pesquisadores, esse malware para OS X foi verificado em 10 de agosto pelo VirusTotal. Outros antivírus ainda não tiveram sucesso em detectá-lo, confirmando que os autores estão usando uma codificação muito mais complexa para isso.

A principal empresa de pesquisa em segurança, FireEye, disse em seu blog sobre esse malware que o código do malware é compatível com arquiteturas de CPU PowerPC e 64/86 bits; além do routine de instalação, um backdoor também está presente e é executado assim que o processo pai está em execução.

“O código do backdoor foi portado para o OS X de um backdoor do Windows que tem sido amplamente utilizado em ataques direcionados ao longo dos últimos anos, tendo sido atualizado muitas vezes no processo”

As capacidades presentes no backdoor incluem abrir um shell reverso, juntamente com ações para visualizar arquivos e transferi-los para um local remoto, ou executar rotinas de autoatualização e instalar outros arquivos executáveis. A FireEye afirma que, em comparação com a versão do Windows, a versão para OS X apresenta funcionalidade aumentada que permite monitorar a vítima através do registro de pressionamentos de tecla e da tela do computador. Isso, somado ao fato de que até agora não foi detectado, aponta para um autor de malware muito experiente.

Os pesquisadores acreditam que o backdoor XSLCmd é empregado em atividades de ciberespionagem. Os pesquisadores identificaram os cibercriminosos como GREF. Esta equipe se especializa em ciberespionagem e está ativa desde 2009. Foi um dos grupos que hackeou a Base Industrial de Defesa dos EUA, bem como empresas de eletrônicos e engenharia em todo o mundo entre o período de 2011 até a data. Embora não se saiba se este grupo é composto por atores estatais de algum país.

Com a crescente popularidade dos computadores e laptops da Apple, isso se torna uma nova dor de cabeça para a empresa-mãe. Até agora, malwares para máquinas Mac eram poucos e distantes entre si. A portabilidade de malware do Windows para outros sistemas operacionais não é uma prática complexa ou nova. Tomando a forma de um arquivo executável Mach-O, o backdoor copia para “$HOME/Library/LaunchAgents/clipboardd” e cria um arquivo na pasta que garante que a ameaça seja lançada na reinicialização do computador, assim que a vítima fizer login.

Durante o processo de instalação, o malware verifica a versão do sistema operacional e parece que versões acima de 10.8 (Mountain Lion) não são levadas em consideração. Isso pode indicar que os autores visaram vítimas que executam esta edição do OS X ou que a peça foi criada especificamente para o Mountain Lion.

A FireEye acredita que os cibercriminosos / gangue cibernética por trás dessa ameaça não são apenas “avançados”, mas também “adaptativos”, considerando o fato de que conseguiram alcançar a compatibilidade de suas ferramentas com os novos sistemas operacionais adotados por suas vítimas e obter persistência nas máquinas infectadas.

Você pode ler o artigo completo sobre XSLCMD aqui