Malware DarthMiner está atacando usuários que pirateiam softwares da Adobe

A Malwarebytes Labs alertou que o malware DarthMiner está atacando usuários que pirateiam softwares da Adobe. Confira os detalhes.


Conforme relatado pelo Malwarebytes Labs, uma variedade de malware um pouco estranha foi observada usando os utilitários open source XMRig cryptominer e EmPyre backdoor para atacar os piratas de software.

Malware DarthMiner está atacando usuários que pirateiam softwares da Adobe
Malware DarthMiner está atacando usuários que pirateiam softwares da Adobe

DarthMiner está atacando usuários que pirateiam softwares da Adobe

O malware OSX.DarthMiner foi projetado para emular a ferramenta Adobe Zii usada para piratear vários aplicativos da Adobe, embora também não tenha copiado seu ícone, em vez disso, empacotou um ícone de applet do Automator que se destaca, potencialmente quebrando a “ilusão”.

Então, alguns diriam que os piratas de software são provavelmente os alvos mais merecedores quando se trata de ataques de malware, afinal, quando o karma acerta, ele bate forte.

Ainda que o malware contenha um código que possa potencialmente interceptar o tráfego criptografado com a ajuda de um certificado raiz mitmproxy, os autores do OSX.DarthMiner comentaram, decidindo usá-lo apenas como um conta-gotas para o EmPyre backdoor, baseado em Python.

Na próxima etapa da infecção, depois que o script backdoor consegue executar comandos arbitrários é baixado e iniciado no sistema comprometido, o malware garante a obtenção de persistência entre as reinicializações com a ajuda de um agente de lançamento chamado com.proxy.initialize.plist.

Em seguida, o XMRig cryptominer juntamente com um arquivo de configuração é baixado na pasta /Users/Shared/ e um novo agente de inicialização apelidado de com.apple.rig.plist é configurado para garantir que o cryptominer sempre use a configuração de mineração de autores do malware.

Curiosidade: ambos, EmPyre backdoor e XMRig cryptominer são softwares de código aberto.

Mesmo que o malware OSX.DarthMiner pareça inofensivo à primeira vista, dado que os criptodificadores maliciosos irão, na maioria das vezes, desacelerar o Mac da vítima, sugando todos os recursos da CPU e da GPU, e isso é mais do que aparenta.

Thomas Reed, da Malwarebytes, acrescentou o seguinte:

“É importante ter em mente que o cryptominer foi instalado através de um comando emitido pelo backdoor, e pode muito bem ter havido outros comandos arbitrários enviados para os Macs infectados pela backdoor no passado.”

Além disso,

“é impossível saber exatamente que dano esse malware pode ter causado aos sistemas infectados. Só porque observamos o comportamento de mineração não significa que ele nunca tenha feito outras coisas”.

Entre as tarefas maliciosas, o OSX.DarthMiner poderia permitir que os maus atores rodassem secretamente em segundo plano, a coleta de dados e a exfiltração são provavelmente os menos perigosos.

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.