Ondrej Holzman Os computadores Mac estão sendo atacados por um novo malware que faz capturas de tela sem o conhecimento do usuário e depois envia arquivos para servidores duvidosos. O vírus se esconde sob o aplicativo macs.app. Por enquanto, porém, não está muito difundido.
Um novo tipo de ameaça aos usuários de computadores Apple foi encontrado no Mac de um dos participantes do Oslo Freedom Forum, uma conferência internacional sobre direitos humanos organizada anualmente em Oslo pela Human Rights Foundation.
Depois de instalar o macs.app, o aplicativo é executado em segundo plano e faz capturas de tela silenciosamente. Cada imagem capturada é armazenada em uma pasta Aplicativo para Mac em seu diretório inicial de onde os arquivos são carregados tabela de segurança.org a docsforum.inf. Nenhum dos domínios está disponível.
[do action=”tip”]Verifique se há uma pasta em seu diretório inicial Aplicativo para Mac (veja a foto).[/do]
Macs.app pode funcionar no seu Mac porque, ao contrário de outros malwares, ele possui um Apple Developer ID funcional atribuído a ele, o que significa que ele passa pela proteção do Gatekeeper. O número de identificação pertence a um certo Rajender Kumar, e a Apple tem a opção de congelar seus direitos, o que provavelmente também impossibilitaria o funcionamento do vírus. Portanto podemos esperar uma intervenção precoce da empresa californiana.
É bom saber. Mas por que diabos eu iria instalá-lo (é um .app ou um pacote de instalação)?
A F-secure está atualmente investigando o malware para determinar melhor sua origem, modos de instalação e como ele é executado.
Não descobri exatamente de que forma ele é baixado, mas quando você o tem no computador, ele inicia automaticamente quando você liga o computador. No entanto, não vejo se ele precisa ser instalado.
Logicamente o usuário tem que executá-lo, a única dúvida é se ele está "empacotado" com algum aplicativo, seja legal ou crackeado, ou se chega um e-mail do tipo "Fotos nuas de , execute-me agora" e o usuário o inicia.
Por parecer primitivo (pode ser escrito em AppleScript com muita facilidade) e por gravar na pasta do usuário, nem deveria precisar de uma senha de administrador, mas estou apenas julgando pela imagem e pelas informações do artigo, é pode ser diferente :)
Se iniciar após a inicialização, eu diria que é necessário finalizar a instalação (até mesmo o daemon ou o próprio aplicativo). De qualquer forma, como escreve DJManas, ele grava na pasta do usuário justamente para que não haja necessidade de senha. Não entendo por que ele escreve em "MacApp" e não em ".MacApp" - dessa forma, ninguém que não tenha arquivos ocultos visíveis (90% das pessoas) notaria.
O que vejo como um problema maior é que alguém usou seu próprio ID de desenvolvedor para passar pelo GateKeeper – aqui a Apple tem que reagir muito rapidamente e banir esses indivíduos para sempre. Talvez eu pudesse vê-lo em alguma função "relatar como spam/vírus", escondida em algum lugar profundo, para que a Apple comece a lidar com isso imediatamente sempre que receber mais de uma notificação desse tipo sobre o aplicativo.
Confesso que não tenho meu ID de desenvolvedor oficial, mas acho que basta configurar um e-mail, pagar uma assinatura, mesmo que por 900,- por ano, e o usuário está "ao vivo" e pode jogar ( se ele não colocar direto na AppStore), o que pode trazer satisfação, mas não sei exatamente como funciona, alguém me corrija.
Por outro lado, os usuários podem ter o GateKeeper desligado porque instalam coisas da Web, e admito que desliguei também, porque não me deixava instalar um aplicativo que normalmente uso, acho que era o OnyX naquela época (recém-instalado 10.8) e não detectou. Gostaria de saber se eles já são desenvolvedores oficiais e posso ativá-lo…
Eu também desabilitei isso para minha esposa enquanto desenvolvia alguns "aplicativos/scripts/widgets" que só ela e eu usamos e ela não me deixou instalá-los em seu OSX…
Recomendo ativar o Gatekeeper e caso queira instalar um aplicativo que não esteja assinado, basta clicar com o botão direito no pacote/aplicativo e clicar em Abrir. Existe então a possibilidade de ignorar o Gatekeeper neste caso. Eu mesmo faço isso e me parece mais seguro - também posso instalar aplicativos não assinados, mas o Gatekeeper fica de olho em todo o resto.
Obrigado, eu não sabia disso