Um novo tipo de malware está à solta e ameaça os usuários de Macs. Batizado de ThiefQuest (ou EvilQuest), ele contém um módulo de ransomware que criptografa os arquivos no disco rígido e cobra um resgate em bitcoins para devolvê-los, além de sofisticados recursos de spyware para capturar nomes de usuário e senhas à medida que são digitados, além de roubar dados de carteiras de criptomoedas. Também pode instalar um “backdoor” persistente na máquina, que permitirá que um malfeitor controle ela remotamente no futuro para fazer o que bem entender.

O malware foi descoberto pelo analista Dinesh Devadoss, da K7 Security Labs, na última quinta-feira. Ele está sendo distribuído através de cópias piratas de software para Mac, como o firewall pessoal Little Snitch, o software para DJs Mixed In Key e a plataforma de produção musical Ableton, encontradas em sites de torrents.

Depois de instalado, o malware tenta se disfarçar de atualizador de programas do Google e começa seu trabalho. Quando os arquivos do usuário estiverem criptografados, ele exibirá a mensagem abaixo cobrando resgate.

Reprodução

Pedido de resgate mostrado pelo ThiefQuest. Foto: Dinesh Devadoss

O comportamento do malware está deixando os especialistas confusos. Spyware geralmente é projetado para trabalhar da forma mais silenciosa possível, ficando à espreita sem que o usuário perceba enquanto captura informações e arquivos. Mostrar um grande pedido de resgate vai contra essa filosofia, já que deixa bem claro para o usuário que a máquina foi comprometida.

“Se seu objetivo principal fosse a extração de dados, você iria querer ficar em segundo plano, da forma mais silenciosa possível, para ter a melhor chance de não ser detectado”, diz Thomas Reed, diretor para as plataformas Mac e Mobile na empresa de segurança MalwareBytes.

“Então eu realmente não entendo qual o objetivo de um ransomware tão barulhento”. Quando o instalei em uma máquina de teste, a cada 30 segundos o computador estava bipando e ‘gritando’. Ele é realmente barulhento, tanto no sentido literal quanto digital”.

Ameaça incompleta

Uma teoria é que o malware esteja incompleto. Originalmente ele teria sido desenvolvido como spyware, e o módulo de ransomware teria sido adicionado como uma forma de ganhar um “dinheiro extra”, mas não funciona corretamente. Uma análise feita pelo especialista em segurança Patrick Wardle mostra que embora o malware tenha funções para descriptografar arquivos, elas nunca são chamadas pelo código. Ou seja, são inúteis.

O ThiefQuest tenta se esconder de algumas formas, como evitando a instalação em máquinas que têm o Norton Antivírus, ou não se ativando se o sistema operacional estiver rodando em uma “sandbox” ou máquina virtual, ambientes usados por especialistas para analisar malware em segurança. Além disso, parte de seu código foi ofuscado para dificultar a compreensão, embora outras partes estejam completamente abertas.

Apesar de sofisticado, o ThiefQuest não deve afetar os usuários de Macs em grande escala. Para ter sua máquina infectada os usuários devem procurar por versões piratas de programas específicos, baixar uma cópia infectada e instalá-la, ignorando um aviso do sistema operacional de que o software pode ser prejudicial. Ou seja, não é uma ameaça que pode chegar a uma máquina de forma despercebida.

Portanto, valem as velhas dicas de segurança: evite softwares piratas, prefira instalar apps usando a loja oficial de seu sistema operacional, mantenha o sistema atualizado e tenha um bom antivírus na máquina.

Fonte: Wired