A Malwarebytes Labs alertou que o malware DarthMiner está atacando usuários que pirateiam softwares da Adobe. Confira os detalhes.
- Como instalar o streamer de tela OBS Studio no Linux via Flatpak
- Como instalar o Libreflix Desktop no Linux via Snap
- Como instalar o app de IPTV ZVVOnlineTV no Ubuntu, Mint e derivados
Conforme relatado pelo Malwarebytes Labs, uma variedade de malware um pouco estranha foi observada usando os utilitários open source XMRig cryptominer e EmPyre backdoor para atacar os piratas de software.
DarthMiner está atacando usuários que pirateiam softwares da Adobe
O malware OSX.DarthMiner foi projetado para emular a ferramenta Adobe Zii usada para piratear vários aplicativos da Adobe, embora também não tenha copiado seu ícone, em vez disso, empacotou um ícone de applet do Automator que se destaca, potencialmente quebrando a “ilusão”.
Então, alguns diriam que os piratas de software são provavelmente os alvos mais merecedores quando se trata de ataques de malware, afinal, quando o karma acerta, ele bate forte.
Ainda que o malware contenha um código que possa potencialmente interceptar o tráfego criptografado com a ajuda de um certificado raiz mitmproxy, os autores do OSX.DarthMiner comentaram, decidindo usá-lo apenas como um conta-gotas para o EmPyre backdoor, baseado em Python.
Na próxima etapa da infecção, depois que o script backdoor consegue executar comandos arbitrários é baixado e iniciado no sistema comprometido, o malware garante a obtenção de persistência entre as reinicializações com a ajuda de um agente de lançamento chamado com.proxy.initialize.plist.
Em seguida, o XMRig cryptominer juntamente com um arquivo de configuração é baixado na pasta /Users/Shared/ e um novo agente de inicialização apelidado de com.apple.rig.plist é configurado para garantir que o cryptominer sempre use a configuração de mineração de autores do malware.
Curiosidade: ambos, EmPyre backdoor e XMRig cryptominer são softwares de código aberto.
Mesmo que o malware OSX.DarthMiner pareça inofensivo à primeira vista, dado que os criptodificadores maliciosos irão, na maioria das vezes, desacelerar o Mac da vítima, sugando todos os recursos da CPU e da GPU, e isso é mais do que aparenta.
Thomas Reed, da Malwarebytes, acrescentou o seguinte:
“É importante ter em mente que o cryptominer foi instalado através de um comando emitido pelo backdoor, e pode muito bem ter havido outros comandos arbitrários enviados para os Macs infectados pela backdoor no passado.”
Além disso,
“é impossível saber exatamente que dano esse malware pode ter causado aos sistemas infectados. Só porque observamos o comportamento de mineração não significa que ele nunca tenha feito outras coisas”.
Entre as tarefas maliciosas, o OSX.DarthMiner poderia permitir que os maus atores rodassem secretamente em segundo plano, a coleta de dados e a exfiltração são provavelmente os menos perigosos.
