Kaspersky descobre backdoor para macOS que visa os utilizadores do WeChat e do DingTalk

 Kaspersky descobre backdoor para macOS que visa os utilizadores do WeChat e do DingTalk

Os investigadores da Kaspersky identificam uma variante macOS da backdoor HZ Rat que visa os utilizadores do WeChat e do DingTalk, duas populares plataformas de mensagens chinesas. O malware, detetado pela primeira vez em sistemas Windows, ameaça agora o sistema operativo macOS, permitindo potencialmente o movimento lateral da rede e o roubo de dados.

A versão macOS do HZ Rat é distribuída através de um falso instalador da aplicação “OpenVPN Connect”. Este instalador contém o cliente VPN legítimo juntamente com dois ficheiros maliciosos: a própria backdoor e um script que lança a backdoor juntamente com o cliente VPN. Assim que a backdoor é iniciada, liga-se ao servidor dos atacantes usando uma lista pré-determinada de endereços IP, com toda a comunicação encriptada para evitar a deteção.

“A análise dos especialistas da Kaspersky mostra que o backdoor do macOS recolhe informações como o nome de utilizador da vítima, o endereço de e-mail do trabalho e o número de telefone dos ficheiros de dados desprotegidos do DingTalk e do WeChat”, disse Sergey Puzan, analista de malware da Kaspersky.

Acrescenta, ainda, que: “Embora o malware esteja atualmente apenas a recolher dados, algumas versões utilizam endereços IP locais para comunicar com o servidor dos atacantes, o que sugere a possibilidade de movimento lateral dentro da rede da vítima. Isto também sugere que os atacantes podem estar a planear ataques direcionados”.

O HZ Rat foi descoberto pela primeira vez em novembro de 2022, quando os investigadores da DCSO descobriram a versão Windows do malware. A descoberta da variante macOS do HZ Rat indica que o grupo por detrás dos ataques anteriores ao Windows ainda está ativo. Embora os seus objetivos finais ainda não sejam claros, os dados recolhidos podem ser utilizados para reunir informações para encenar futuros ataques.

Para mais pormenores sobre o caso da backdoor HZ Rat, consulte Securelist.com.

De forma a mitigar os riscos de infeções por malware como o HZ Rat, a Kaspersky recomenda o seguinte:

• Faça o download das suas aplicações apenas das lojas oficiais. As aplicações destes mercados não são 100% infalíveis, mas pelo menos são verificadas por representantes da loja e existe um sistema de filtragem - nem todas as aplicações conseguem entrar nestas lojas.
• Aborde a sua proteção com toda a diligência e considere opções de reforço adicionais. Utilize soluções de cibersegurança com controlos de aplicações, da Web e de dispositivos que limitem a utilização de aplicações, websites e periféricos não solicitados, reduzindo significativamente os riscos de infeção, mesmo nos casos em que os empregados utilizam TI sombra ou cometem erros devido à falta de hábitos de cibersegurança.
• Proteja a empresa contra as ameaças existentes através da utilização de soluções da gama de produtos Kaspersky Next. Esta linha oferece uma proteção em tempo real, visibilidade de ameaças, capacidades de investigação e resposta de EDR e XDR para organizações de qualquer dimensão e indústria. Dependendo das suas necessidades atuais e dos recursos disponíveis, pode escolher o nível de produto mais relevante e migrar facilmente para outro, se os seus requisitos de cibersegurança estiverem a mudar.
• Opte por uma solução de segurança forte em todos os seus computadores pessoais e dispositivos móveis, como o Kaspersky Premium.
• Mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que os atacantes se infiltrem na sua rede através da exploração de vulnerabilidades.