A Check Point detectou uma nova cadeia de malware que evoluiu para roubar as informações dos usuários do sistema operacional MacOS. Batizada de “XLoader”, a nova variedade deriva da conhecida família de malware “Formbook” voltada principalmente para usuários do Windows. Após não ter sido mais vendido em 2018, o Formbook foi reformulado em 2020 para XLoader. Nos últimos seis meses, a divisão CPR acompanhou as atividades do XLoader, descobrindo que este malware é prolífico, visando não apenas os usuários do Windows, assim como do sistema operacional do Mac.
Os atacantes podem comprar licenças do XLoader na Darknet por apenas US$ 49, com o qual poderão roubar credenciais de login, capturar telas, registrar teclas digitadas e executar arquivos maliciosos. A equipe da Check Point Research concluiu que o método mais comum de infecção ocorre por meio de e-mails falsos que contêm arquivos maliciosos anexados do Microsoft Office.
Esta é uma ameaça potencial para todos os usuários de MacOS. Em 2018, a Apple estimou que mais de 100 milhões de Macs estavam em uso. No Brasil, estima-se que 4,95% da fatia do mercado de sistemas operacionais para computadores pertença ao MacOS.
Vítimas
A Check Point Research rastreou a atividade do XLoader no período entre 01 de dezembro de 2020 e 01 de junho de 2021, verificando que houve pedidos deste malware em 69 países. Até o momento, mais da metade (53%) das vítimas residem nos Estados Unidos. Apesar de ainda não existirem dados sobre o Brasil, a distribuição global do XLoader é a seguinte:
Dicas de Prevenção
Para evitar a infecção, a CPR recomenda que os usuários de Mac e Windows:
1) Não abram anexos suspeitos ou maliciosos.
2) Evitem visitar sites suspeitos.
3) Usem software de proteção de terceiros para ajudar a identificar e prevenir comportamento malicioso em seu computador.
Orientação sobre detecção e remoção
Uma vez que esse malware é oculto por natureza, é difícil para quem tem “um olho não técnico” reconhecer a infecção. Portanto, se o usuário suspeitar que foi infectado, é recomendado consultar um profissional de segurança ou usar ferramentas e proteções de terceiros desenvolvidas para identificar, bloquear e até mesmo remover essa ameaça de seu computador. Para mais detalhes técnicos para auxiliar, a equipe da CPR recomenda ir ao Autorun e:
1) Verificar o nome de usuário no sistema operacional.
2) Ir para o diretório / Users / [nome de usuário] / Library / LaunchAgents
3) Verificar se há nomes de arquivos suspeitos neste diretório (o exemplo a seguir é um nome meramente ilustrativo)
4) Remover o arquivo suspeito.
“Como parte de nosso rastreamento de cibercrimes, observamos desenvolvimentos interessantes pela conhecida família de malware ‘Formbook’. Vimos uma nova variedade de malware derivada do Formbook original. Chamado de ‘XLoader’, este malware é muito mais maduro e sofisticado em relação aos seus predecessores, suportando diferentes sistemas operacionais, especificamente computadores MacOS”, explica Yaniv Balmas, head de Pesquisa Cibernética da Check Point Software Technologies.
Ainda de acordo com Balmas, historicamente, o malware para MacOS não era tão comum. “Eles geralmente se enquadram na categoria de ‘spyware’, não causando muitos danos. Acho que há uma crença incorreta entre os usuários do MacOS de que as plataformas da Apple são mais seguras que outras plataformas mais amplamente utilizadas. Embora possa haver uma brecha entre o malware do Windows e do MacOS, esta lacuna está diminuindo lentamente com o tempo. A verdade é que o malware do MacOS está se tornando cada vez maior e mais perigoso.”
As descobertas recentes da equipe da CPR são um exemplo perfeito e confirmam essa tendência crescente. “Com a popularidade gradual das plataformas MacOS, faz sentido que os cibercriminosos mostrem mais interesse neste domínio e, pessoalmente, acredito que veremos mais ameaças cibernéticas seguindo a família de malware Formbook. Eu pensaria duas vezes antes de abrir qualquer anexo de e-mails que recebo de remetentes que não conheço”, finaliza Balmas.