Mercado fechará em 6 h 26 min

Shlayer: macOS ainda sofre com vírus "antiquado" até hoje

Rafael Arbulu

Um levantamento feito pela empresa de segurança Kaspersky mostrou que o vírus Shlayer, que apareceu no cenário de malwares em fevereiro de 2018, ainda é o líder no volume de infecções de máquinas equipadas com o sistema operacional macOS, apesar de seu funcionamento óbvio e padronizado.

De acordo com a Kaspersky, ao longo de toda a sua existência, o Shlayer contabilizou 32 mil diferentes variações de ataque e 143 operadores o utilizaram para controlar máquinas infectadas. Ao todo, 30% das infecções detectadas pelos produtos de segurança da Kaspersky correspondem ao vírus, cujo ranking de maior volume de vítimas está nos Estados Unidos (31%), seguido de Alemanha e França (ambos com 10%).

Segundo relatório emitido pela empresa na data de ontem (23), o Shlayer é “um tipo bem comum de malware” que foi quase inteiramente construído por meios de comandos Bash, apesar de uma variante ser amplamente baseada em Python. Independente da versão, o objetivo do vírus é o mesmo: ele coleta credenciais de login e versões de sistema operacional, usando isso como base para baixar um arquivo de instalação. Esse download, por sua vez, elimina traços de qualquer transferência após ser completado, efetivamente apagando sua própria trilha a fim de impedir a geração de suspeitas de infecção.

Apesar de seu funcionamento antiquado, o vírus Shlayer ainda lidera o volume de infecções em máquinas que rodam macOS, segundo levantament publicado pela Kaspersky

Seu método de distribuição também segue um cronograma bastante banal: o Shlayer aparece para o usuário como um pedido de atualização de plugin do Flash, a tecnologia de visualização de certos arquivos da Adobe que já está em desuso, com a própria Adobe endossando um consórcio de empresas de tecnologia a efetivamente “matar” o recuso ainda no início de 2020.

O falso alerta aparece comumente em sites que ofereçam ao usuário o download ou streaming de filmes, séries e/ou jogos, apesar do senso comum de que sites que façam esse tipo de distribuição são, comumente, ponto focal para a proliferação de ameaças virtuais.

Uma falsa atualização do Flash é a isca usada para incentivar o usuário a fazer um download malicioso e ter sua máquina infectada

Uma vez posicionado dentro da máquina, o Shlayer instala um adware conhecido como Cimpli, que por sua vez força a instalação de aplicações comumente rechaçadas, como o mecanismo de busca AnySearch. Longe da atenção do usuário, porém, ele secretamente instala uma extensão maliciosa no navegador Safari, acompanhada de uma ferramenta que gera um falso certificado TLS a fim de que o vírus consiga acessar e ler informações de páginas dentro do protocolo de segurança HTTPS.

Para manter-se secreto e sem despertar suspeitas do usuário, o Cimpli superimpõe janelas de alerta sobre as originais do sistema. Na imagem abaixo, vemos um claro exemplo disso: a primeira imagem mostra o “aviso” falso vindo do Cimpli, enquando a segunda mostra o alerta original do macOS. Basicamente, o Cimpli “cola” um falso alerta por cima do verdadeiro, impedindo que qualquer notificação mais direta chegue ao usuário.

Ao colar falsas notificações por cima, o vírus impede que alertas reais do Mac sejam vistos pelo usuário (Imagem: Reprodução/Ars Technica) 

O Shlayer consegue ser hospedado por páginas de transmissão de conteúdo pirata por meio de links afiliados — devido ao seu alto tráfego, é assim que sites do gênero ganham dinheiro —, mas também usa códigos embed maliciosos em páginas dentro de sites conhecidos, como Wikipedia e YouTube.

A Kaspersky atribui esse sucesso a uma entre duas possibilidade: a primeira e mais provável e que os operadores do Shlayer bombardeiam usuários com banners e ofertas de atualização do Flash, em uma tentativa de infectar máquinas por força bruta a fim de compensar o volume de tentativas sem sucesso de invasão. A segunda trabalha com a possibilidade de que a taxa de sucesso do Shlayer é alta o suficiente para que operadores continuem voltando para infectar mais e mais máquinas.

Hackers por trás da proliferação do Shlayer o usam para roubar credenciais de acesso variadas e informações de sistema das máquinas infectadas

Em todo o caso, a situação é mais uma demonstração da necessidade de cautela e informação por parte do usuário, que deve sempre se lembrar que o Flash é uma tecnologia praticamente morta, que oferece, hoje, mais riscos que qualquer benefício. Nos casos onde o Flash é absolutamente necessário, o download de seu plugin deve ser feito exclusivamente pelo site da Adobe.

Ademais, o streaming de vídeos e download de arquivos na internet não condiciona seu funcionamento à atualização de um software ou plugin, então se você está tentando fazer algo do tipo online e um alerta pede que você atualize alguma coisa, não clique e saia da página imediatamente.

Fonte: Canaltech

Trending no Canaltech: