OS X Adware: alerta sobre o OSX.Pirrit
Os usuários Mac podem ser expostos a malwares e aplicações que se dedicam a outros tipos de comportamento nefasto assim como os usuários do Windows o são. Exemplo: OS X Pirrit
Surgido pela primeira vez em abril, o programa malicioso OSX.PIrrit foi criado para:
redirecionar o tráfego internet de um Mac para um proxy local (todo o tráfego);
criar um usuário invisível na máquina;
esconder a sua instalação;
impedir que os usuários bloqueem os anúncios;
proteger uma eventual "injetação de código" no tráfego web.
O malware, uma versão OS X de um adware do Windows, tem sido visto como "uma atualização" que apenas removeu o binário do Windows na versão original.
Amit Serper, pesquisador da Cybereason, revelou em abril que a ameaça estava se espalhando através de downloads disfarçados de atualizações falsas. Uma vez executado, solicita que o usuário digite sua senha, ganhando assim, privilégios de ROOT. Ao contrário de sua contraparte Windows, no entanto, o OSX.Pirrit está chegando mais perto de deixar a categoria adware e tornando-se malware.
Em uma máquina comprometida, o adware muda o "motor de busca" do navegador e, além dos ítens citados acima, pode injetar anúncios em páginas web. O adware aparecendo na "Lista de Processos em Execução" e o grande número de anúncios seriam um sinal para o usuário de que há algo de errado com a máquina, disse o pesquisador.
Serper também lançou um script de remediação (patch script) para ajudar os usuários infectados com o adware, mas uma recente atualização do aplicativo malicioso faz com que o script seja inútil, diz o pesquisador. Em um novo relatório sobre essa ameaça, ele também explica que o adware foi criado por uma empresa de publicidade israelense e que, embora o OSX.Pirrit seja no momento usado apenas para veicular anúncios, ele pode facilmente transformar-se como um código malicioso e assumir completamente a máquina da vítima.
Em seu relatório, o pesquisador Cybereason revela que a última versão do OSX.Pirrit foi criado por um executivo da TargetingEdge, que afirma ser uma empresa "marketing online". Um olhar sobre a página LinkedIn da empresa revelou que ela oferece um "instalador aprovado-MAC" e que ele pode fornecer "uma oportunidade única para rentabilizar extenso tráfego MAC e ganhar receitas adicionais a partir de uma pool de usuários já existente."
As evidências do OSX.Pirrit ter sido criado por esta empresa é esmagadora, afirma o pesquisador: o proxy responsável pela injeção de anúncios do malware vem como um arquivo TAR.GZ que salva todos os atributos do arquivo dentro dele, incluindo "proprietários e permissões". Basicamente, o arquivo revelou o proprietário do computador, o que permitiu que o pesquisador estabelecer o vínculo com a TargetingEdge.
Serper também descobriu que a nova variante inclui código adicional que lhe permite verificar a existência de programas concorrentes na máquina comprometida e removê-los. Além disso, a nova versão tem 14 novos usuários ocultos. Fora isso, o programa parece funcionar da mesma forma que antes, e até mesmo a empregar o mesmo esquema de distribuição: ela vem embalado dentro de software legítimo, como MPlayerX, NicePlayer e VLC.
A questão principal aqui, diz o pesquisador, é que o usuário nunca é informado sobre o fato de que ele instala adware ao lado do aplicativo legítimo, embora este é o caso com a maioria dos "Adware" no Windows - e isso para não mencionar que instruções de desinstalação do OSX.Pirrit não são de fácil acesso a todos.
"O OSX.Pirrit permite que atacantes para assumir o controle completo de um computador. Em vez de inundar o navegador de uma pessoa com os anúncios, os atacantes poderiam ter instalado um keylogger para capturar as informações de sua conta bancária ou capturar dados de propriedade intelectual da sua empresa. As empresas precisam saber o que está acontecendo em suas máquinas Macs, porque no instante em que uma empresa não está sabendo, está comprometida", conclui o pesquisador.
Em dezembro, a Symantec afirmou que o número de infecções por malware OS X nos primeiros nove meses de 2015 foi sete vezes maior do que em toda a 2014, embora o número de ameaças detectadas recentemente caiu.
