OSX/CrescentCore
O malware OSX/CrescentCore é um Trojan que se esconde dentro de um Instalador do Adobe Flash e se destina aos usuários do Mac OSX. O malware tenta evitar a detecção por não ser executado dentro de uma VM ou se houver um software anti-vírus de terceiros instalado na máquina.
Índice
Alguns Detalhes sobre o Malware OSX/CrescentCore
Existem várias versões deste malware conhecidas pelos pesquisadores atualmente. Todas as versões se apresentam como um arquivo de imagem .dmg contendo um aplicativo "Player". Se um usuário abrir o aplicativo Player, o malware verificará se ele está sendo executado em uma máquina virtual ou se algum aplicativo antivírus de terceiros está instalado. Se detectar um deles, o malware sai sem ações.
Se não houver nenhuma VM ou anti-vírus detectado, o malware instalará um software ameaçador. As versões em estudo atualmente instalam extensões indesejadas do navegador Safari, algo conhecido como LaunchAgent ou aplicativos como o "Advanced Mac Cleaner". O Advanced Mac Cleaner é um aplicativo indesejado conhecido que tenta criar ou detectar problemas falsos para fazer com que o usuário pague por uma solução que não exige. Extensões de navegador indesejadas podem causar pop-ups e anúncios que interrompem seu fluxo de trabalho, e todo o malware pode ser usado para reunir informações sobre você ou sobre o uso do computador/Internet. Algumas extensões podem ser usadas para minar criptomoedas, levando a altos problemas de desgaste e aquecimento no processador da sua máquina e em outros componentes.
As versões encontradas na natureza foram assinadas com Certificados de Desenvolvedor da Apple, que permitem que eles passem pelas proteções internas da Apple, como o Gatekeeper. Os certificados encontrados até agora foram reportados à Apple.
Conselhos para os Usuários do Mac OSX
Embora os certificados comprometidos tenham sido relatados e desativados pela Apple, a empresa não consegue impedir o abuso de novos certificados para distribuir malware completamente. Tenha certeza de onde um aplicativo veio antes de abri-lo em sua máquina.
Quase todos os navegadores e SO vêm com o Adobe Flash Player e, portanto, não exigem que você o instale manualmente. Mesmo se você precisar fazer isso por qualquer motivo, visite https://get.adobe.com/flashplayer/ e verifique o certificado SSL quanto à validade para garantir que você esteja baixando o aplicativo do site oficial da Adobe.
O Que Fazer Se Você Executar Acidentalmente o Aplicativo “Player” Ameaçador e Fornecer Acesso à Sua Máquina para o CrescentCore
Normalmente, a melhor maneira de evitar a dor de lidar com a remoção de malwares (muitas vezes mal-sucedida) é garantir que você tenha um bom software antivírus atualizado diariamente, à medida que o malware é lançado regularmente.
Uma vez infectado, não há garantia de que você será capaz de remover tudo instalado pelo CrescentCore perfeitamente, mas aqui estão algumas áreas comuns para limpar manualmente se o seu anti-vírus não cuidar dele automaticamente:
- Pasta LaunchAgents (~/Library/LaunchAgents)
Abra sua pasta LaunchAgents e mova para o Lixeira todos os arquivos com aparência suspeita instalados recentemente. Exemplos de nomes de arquivos não seguros incluem:
- installmac.AppRemoval.plist
- myppes.download.plist
Por favor, tenha cuidado e coloque no Google qualquer nome de arquivo antes de movê-lo para a Lixeira, pois há muitos arquivos legítimos nesta pasta. - Aplicativos
Verifique se há algum aplicativo em sua pasta Aplicativos que você não reconhece ter instalado e mova-o para a Lixeira. Estes podem incluir:
- Advanced Mac Cleaner
- MplayerX - Pasta de suporte a aplicativos (~/Library/Application Support)
Abra sua pasta de suporte a aplicativos, procure por pastas que você não reconhece e mova-as para a Lixeira. Estes geralmente correspondem a Aplicativos instalados automaticamente, como mencionado acima. - Extensões do Navegador
Abra seus navegadores, especialmente o Safari, e encontre a página "Extensões". Procure por extensões que você não tenha instalado e remova-as.
Existem muitas extensões corrompidas e cada uma é normalmente exclusiva do navegador que você usa. Basta procurar por algo instalado recentemente que você não reconhece.
