Um novo malware para macOS se passando por leitor de PDFs legítimo é usado para ataques direcionados a dispositivos da Apple. Denominado “TodoSwift”, o arquivo malicioso foi descoberto por pesquisadores da Kandji, que forneceu mais detalhes da campanha na última sexta-feira (16).
Segundo a plataforma especializada em gerenciamento e segurança dos aparelhos da Maçã, o malware está escondido em um app chamado TodoTasks, escrito na linguagem Swift (daí vem o nome). Este software se apresenta como uma suposta ferramenta inofensiva para baixar, ler e editar arquivos no formato PDF.
Os responsáveis pela campanha teriam ligação com o principal grupo de hackers da Coreia do Norte
Quando a vítima instala o programa em seu dispositivo, o TodoSwift entra em ação: ele baixa um arquivo malicioso secundário, método esse que dificulta a detecção. A ação começa com a exibição de um PDF com informações sobre bitcoin e inteligência artificial para distrair a pessoa.
Enquanto o arquivo hospedado no Google Drive é mostrado na tela, o software aciona a transferência da carga maliciosa a partir de uma segunda URL. Dessa forma, o malware se instala no macOS sem que o usuário tenha qualquer conhecimento, abrindo brecha para os cibercriminosos atuarem remotamente.
Hackers norte-coreanos estariam envolvidos
Os especialistas responsáveis pela descoberta atribuíram este novo malware para macOS ao BlueNoroff, grupo de cibercriminosos da Coreia do Norte. Eles encontraram semelhanças entre o TodoSwift e os arquivos maliciosos KandyKorn e RustBucket, utilizados por esses autores em roubos de dados e criptomoedas.
Ligado ao Lazarus, principal grupo hacker supostamente apoiado pelo estado norte-coreano, o BlueNoroff geralmente ataca instituições financeiras, entidades governamentais e corretoras de criptomoedas. Ultimamente, a equipe tem se destacado pela alta capacidade de escapar das detecções e executar ataques cibernéticos complexos.
Em caso de download da ferramenta TodoTasks, recomenda-se excluir o programa e realizar uma varredura de segurança no dispositivo usando um antivírus confiável. Os pesquisadores ainda estão avaliando as capacidades do malware, que devem ser detalhadas em breve.