Descoberta por empresa de segurança Intego, variação Flashback G consegue se instalar sem que usuário precise clicar em aplicativo
A empresa de segurança Intego anunciou nessa quinta-feira, 23/2, que descobriu mais variação do Cavalo de Troia (Trojan) Flashback. A companhia afirma que “muitos usuários de Mac foram infectados por esse malware”, especialmente a variação mais recente, Flashback G.
A Intego descreve três maneiras diferentes pelas quais o Cavalo de Troia infecta os Macs: ele tenta explorar um par de vulnerabilidades Java em sequência, o que a companhia diz que permite a infecção sem nenhuma intervenção seguinte do usuário. Falhando essas abordagens, a outra tentativa é por meio de engenharia social. Nesse último caso, o malware apresenta um certificado digital assinado por ele mesmo, falsamente afirmando que o certificado tem a assinatura da Apple; se você clicar em Continue, o malware então se instala no sistema.
Para ser vítima do Flashback, você primeiro precisa rodar softwares. Por definição, os Cavalos de Troia se disfarçam como outros tipos de programas, levando os usuários a, digamos, clicar duas vezes em um ícone para iniciar um novo download – e assim infectando seus sistemas. Mas tenha em mente que se você ainda estiver usando o sistema anterior Snow Leopard e sua instalação do Java não for atual, uma página web com código malicioso pode fazer com que o malware seja instalado sem intervenções posteriores do usuário, dependendo das configurações de segurança do seu browser.
Segundo a Intego, a variação mais recente do Flashback.G pode injetar códigos em navegadores web e outros aplicativos que se conectam com a Internet, geralmente causando crash neles. O malware tenta roubar nomes de usuários e senhas que você digita em muitos sites famosos (como páginas de banco, Google, PayPal, e outros), presumivelmente para que os autores do software malicioso possam explorar esses dados de maneiras ilegais.
Como parte do processo de instalação, o malware coloca um arquivo invisível na pasta /Users/Shared/ (/Usuários/Compartilhado); o nome desse arquivo é variável, mas ele utiliza uma extensão “.so”. Outros arquivos que o malware cria incluem /Users/Shared/.svcdmp, ~/.MACOSX/environment.plist, e ~/Library/Logs/vmLog. Ele
Também cria um pequeno app Java em ~/Library/Cachês (“/Biblioteca/Caches)
Novo Cavalo de Troia engana usuários Mac ao dizer que app possui assinatura da Apple
Você não ficará surpreso em descobrir que o software VirusBarrier X6, da própria Intego, pode detectar o Flashback se o malware estiver instalado, e até mesmo evitar que o app seja instalado em primeiro lugar.
Se você suspeitar que já tiver sido infectado, pode verificar isso ao abrir o Terminal (em /Applications/Utilities/) e colar o código abaixo, e apertar Return depois:
ls /Users/Shared/.*.so
Se a resposta que você ver no Terminal incluir “No such file or directory”, você está limpo. Mas se, em vez disso, você visualizar um ou mais arquivos com uma extensão “.so” e nenhuma declaração “no such file”, você pode muito bem ter sido vítima do malware.
Caso você descubra estar infectado, remover os arquivos citados acima ou instalar programas de antivírus como o da Intego deve remover todos os traços do Cavalo de Troia.
Nenhum comentário:
Postar um comentário