Um trojan de malware do Windows com uma década de idade invadiu o ecossistema macOS, completo com um certificado de desenvolvedor Apple assinado (provavelmente roubado). A exploração aparece como um instalador do Adobe Flash Player. Depois que a permissão é concedida, ele se esconde nas pastas do macOS. Seu certificado já foi revogado pela Apple, mas é bom ficar atento aos seus inimigos.
De acordo com a Fox-IT , Snake, uma estrutura de malware que infecta software Windows desde 2008 e, mais recentemente, Linux, agora tem como alvo o Mac.
Agora, a Fox-IT identificou uma versão do Snake voltada para o Mac OS X. Como esta versão contém funcionalidades de depuração e foi assinada em 21 de fevereiro de 2017, é provável que a versão OS X do Snake ainda não esteja operacional. A Fox-IT espera que os invasores que usam o Snake em breve usem a variante do Mac OS X nos alvos.
significado de borboleta
Cobras são perigosas e aqui está o porquê
Semelhante ao trojan Dok que nós ouvimos sobre no início desta semana , Snake apareceu com um certificado de desenvolvedor autenticado, o que significa que o sistema de segurança integrado do Mac, Gatekeeper, o consideraria legítimo e permitiria que o processo de instalação fosse concluído.
Ofertas VPN: Licença vitalícia por US $ 16, planos mensais por US $ 1 e mais
É importante observar que a Apple já revogou este certificado de desenvolvedor falso ou roubado, então o Gatekeeper irá bloqueá-lo. No entanto, ainda há uma pequena chance de alguém baixar o Snake por acidente, caso o tenha encontrado por meio de canais duvidosos. Malwarebytes explica :
Felizmente, a Apple revogou o certificado muito rapidamente, portanto, esse instalador em particular não representa mais perigo, a menos que o usuário seja induzido a baixá-lo por meio de um método que não o marque com um sinalizador de quarentena (como por meio da maioria dos aplicativos de torrent).
Como o Snake desliza para dentro do seu Mac
Assim como a maioria dos ataques de malware, o Snake não aparece magicamente no seu Mac um dia. Não há ninguém atirando em arquivos corrompidos por meio de seu cabo Ethernet diretamente em seu software. O Snake deve ser bem-vindo ao seu sistema operacionalpor você.
apple watch série 1 aço inox 38mm
Pense nisso como um vampiro. Se você não o convidar para entrar em sua casa, ele não poderá atacá-lo.
O arquivo, chamadoInstale Adobe Flash Player.app.zip, parecerá ser um instalador do Adobe Flash (diga o que quiser sobre o Flash, mas ainda há muitas pessoas que precisam usá-lo para a escola ou trabalho). De Malwarebytes :
Se o aplicativo for aberto, ele solicitará imediatamente uma senha de usuário administrador, o que é um comportamento típico de um instalador Flash real. Se essa senha for fornecida, o comportamento continuará a ser consistente com o real.
Curiosamente, uma vez que a instalação é concluída, o Flash é realmente instalado no Mac, tornando ainda mais difícil dizer que é um trojan.
Como você pode se proteger contra Snake
Conforme observado acima, o certificado de desenvolvedor falso / roubado que permitiu ao Snake obter um passe do Gatekeeper já foi revogado, então é provável que, mesmo se você baixar o arquivo zip e tentar abrir o aplicativo, seu programa de segurança integrado irá diga, 'Nope Dope!'
Mas, para atualizar as práticas recomendadas, se você receber um e-mail com um anexoem absoluto, faça a devida diligência para ter certeza de que é de uma fonte legítima. Verifique o endereço do remetente para ter certeza de que é de um endereço que você reconhece. Clique no nome do remetente para ver o endereço de e-mail de onde ele foi enviado e ter certeza de que não é um e-mail falsificado. Se ainda não tiver certeza, confirme com o remetente por mensagem de texto, ligando ou enviando umseparadoe-mail perguntando se o anexo é legítimo.
Específico para o trojan Snake, evite baixar quaisquer arquivos zip com o nomeInstale Adobe Flash Player.app.zip.
O que fazer se Snake já te mordeu
Você gosta dos meus trocadilhos de cobra?
Se você acha que pode ter instalado acidentalmente o trojan Snake em seu Mac, você pode localizar e excluir os seguintes arquivos:
- /Library/LaunchDaemons/com.adobe.update.plist
- /Library/Scripts/installd.sh
- / Biblioteca / Scripts / fila
- /var/tmp/.ur-*
- /tmp/.gdm-socket
- /tmp/.gdm-selinux
Em seguida, exclua o certificado Apple Developer assinado, roubado / falso.
copiar e colar logotipo da apple
- Lançar Localizador .
- Selecione Formulários .
- Abre o teu Serviços de utilidade pública pasta.
- Clique duas vezes em Acesso às Chaves .
- Selecione os certificado nomeado instalador do Adobe Flash Player com o certificado assinado emitido para Addy Symonds .
- Clique com o botão direito ou Control + clique no Certificado .
- Selecione Apagar Certificado nas opções suspensas.
- Selecione Excluir para confirmar que deseja excluir o certificado.
Por último, mude sua senha de administrador para garantir que seu backdoor seja recodificado para que os hackers não possam entrar novamente.
Lembre-se das práticas recomendadas para se manter seguro
É improvável, neste ponto, que Snake deslize pela porta dos fundos do seu Mac. Por um lado, a Apple revogou o certificado, o que torna quase impossível passar pelo processo de instalação sem que você saiba.
Para reiterar, não abra anexos de fontes desconhecidas. Verifique novamente o endereço de e-mail do remetente para ter certeza de que não foi falsificado. Não abra arquivos de aparência suspeita nem dê permissão de administrador a programas desconhecidos. Você pode se proteger de ataques se permanecer seguro.
Se você acabar com malware no seu Mac, pare um momento para relaxar e saber que tudo estará OK.K. Você pode remova malware por conta própria , mas se parecer muito difícil para você resolver, você pode fale com o suporte da Apple . Alguém poderá te ajudar.