AppleJeus

Os criminosos cibernéticos têm um interesse crescente em criar ameaças direcionadas a dispositivos executando o OSX. Uma das mais recentes ameaças desse tipo que os especialistas em segurança cibernética identificaram é chamada AppleJeus. A ameaça AppleJeus é um backdoor Trojan com vários recursos intrigantes. Os autores do Trojan AppleJeus estão propagando-o usando trocas de moeda falsas de ativos digitais. Qualquer usuário que queira usar o serviço é solicitado a baixar uma plataforma de negociação de ativos digitais. No entanto, assim que os usuários descarregam e instalam o arquivo, o backdoor AppleJeus Trojan será plantado em seus sistemas silenciosamente. Além da variante dessa ameaça que atinge os computadores Mac, os autores também desenvolveram uma cópia que também segue os sistemas Windows. A variante do Windows dessa ameaça não possui qualidades impressionantes demais, mas a cópia do OSX possui alguns aspectos curiosos, que vale a pena explorar.

Um Arquivo Corrompido é Hospedado no GitHub

Para enganar os usuários e comprometer seus sistemas, o backdoor do Trojan Ap-pleJeus é mascarado como uma troca falsa chamada 'Celas' ou 'JMT Trading'. Ambos os serviços são constituídos e não estão vinculados a empresas ou negócios genuínos. Os criadores do backdoor AppleJeus optaram por hospedar o arquivo corrompido da ameaça na plataforma legítima GitHub. O nome do arquivo é 'JMT-Trader.pkg.' O fato de os autores desta ameaça hospedarem esse arquivo em uma plataforma respeitável como o GitHub pode induzir alguns usuários a pensar que não há nada suspeito e que o serviço é genuíno.

Ganhando Persistência

Para obter persistência no host com problemas, o backdoor Ap-pleJeus implantará uma coleção de arquivos usando um script de instalação e gerará um novo daemon de inicialização que garantirá que a ameaça esteja sendo executada toda vez que o computador for reiniciado. São necessários privilégios de administrador para a conclusão desta etapa do ataque, mas isso não é problema para os autores da ameaça. O backdoor AppleJeus Tro-jan apresentará aos usuários um prompt para que eles preencham suas credenciais de administrador e dê luz verde à instalação.

Apesar da pequena lista de comandos que a ameaça pode executar, eles são mais do que suficientes para que os atacantes obtenham controle quase completo sobre a máquina comprometida. O backdoor AppleJeus pode:

  • Carregar arquivos para o host infectado.
  • Executar arquivos no host infectado.
  • Executar comandos remotos no host infectado.
  • Terminar automaticamente.

Apenas com base no método de propagação complexo empregado pelos atacantes, é seguro assumir que eles são muito experientes no campo do crime cibernético. Isso levou os pesquisadores de segurança cibernética a acreditar que pode haver um APT (Ameaça Persistente Avançada) por trás desse ataque. Ao estudar o Trojan backdoor da AppleJeus, os especialistas encontraram alguns paralelos entre essa ameaça e outras cepas de malware que foram associadas ao famoso ATP norte-coreano chamado Lazarus. As ameaças lançadas pelo Lazarus APT são altamente potentes e ameaçadoras. É por isso que você certamente deve considerar investir em um aplicativo anti-malware respeitável que manterá seu sistema seguro.

Tendendo

Mais visto

Carregando...