Bella RAT

O Bella RAT é um Trojan de Acesso Remoto de código aberto recém-descoberto que tem como alvo os sistemas macOS versão 10.6 ou superior. O malware é inteiramente escrito em Python e possui uma ampla gama de recursos. Como a maioria das ameaças RAT, ele pode manipular, carregar e baixar arquivos enquanto também captura dados de microfones e câmeras conectados ou cria e exfiltrar capturas de tela. O Bella RAT possui vários recursos de phishing, como tentativa de login e chaves de senha, além da senha do ID Apple da vítima. Ele pode acessar funções do iCloud, como Contatos do iCloud, Encontrar meu iPhone, Encontrar meus amigos e Backups do iOS por meio da extração de tokens do iCloud. A ameaça RAT também pode acessar as senhas do Chrome e o histórico de navegação.

No macOS versão 10.12.1 e anterior, o Bella RAT explora vulnerabilidades do sistema com o objetivo final de obter privilégios de root. Se for bem-sucedido, o RAT coloca seus componentes nos locais apropriados da pasta da biblioteca raiz. Caso contrário, os arquivos de script, banco de dados e inicialização serão armazenados respectivamente em:

• ~ / Biblioteca / Containers / .bella / Bella
• ~ / Biblioteca / Containers / .bella / bella.db
• ~ / Library / LaunchAgents / com.apple.iTunes.plis

Para sua distribuição, o Bella RAT emprega o mesmo conta-gotas, com pequenas modificações, que foi observado para transportar outro Mac Trojan chamado OSX.Dok como carga útil anteriormente. O dropper é disfarçado como um documento contido em um arquivo compactado do aplicativo denominado Dokument.application. Uma vez executado, ele se duplica em /Users/Shared/AppStore.application e exibe um alerta alegando que o aplicativo está danificado. Ao contrário da versão do dropper usada para o OSX.Dok, porém, a versão para Bella não cobre a tela do sistema infectado com uma janela falsa de ' Atualizações disponíveis do OS X '.