Com o macOS se tornando cada vez mais um alvo principal para cibercriminosos, pesquisadores estão descobrindo malwares mais sofisticados projetados para contornar os mecanismos de segurança integrados da Apple. Em uma análise recente, o pesquisador de segurança Tonmoy Jitu descobriu um backdoor para macOS totalmente indetectável (FUD) chamado Tiny FUD.
Este malware furtivo para macOS utiliza manipulação de nomes de processos, injeção DYLD e execução de comandos baseada em C2 para operar sem ser detectado, tornando-se uma ameaça significativa para usuários da Apple.
O backdoor Tiny FUD é capaz de roubar dados, executar comandos remotos e manter controle persistente sobre os sistemas infectados. A análise revelou uma estratégia avançada de ofuscação, permitindo que ele se misture perfeitamente com processos legítimos do macOS.
Uma das principais características do Tiny FUD é sua capacidade de mascarar sua presença ao alterar aleatoriamente seu nome de processo para serviços legítimos da Apple, como “com.apple.Webkit.Networking” ou “com.apple.security.agent.” Isso dificulta a identificação do malware no Monitor de Atividade.
O backdoor também utiliza injeção DYLD para executar código malicioso dentro de processos legítimos, evitando ainda mais a detecção. Além disso, ele se esconde da visualização no Finder, tornando a descoberta da infecção ainda mais difícil para os usuários.
O Tiny FUD se comunica com um servidor de comando e controle (C2) para receber comandos e exfiltrar dados. A cada cinco minutos, ele envia um sinal de “batimento cardíaco” para o servidor C2, que inclui uma captura de tela da máquina infectada.
A análise de Jitu também revelou que o malware tem a capacidade de executar comandos arbitrários recebidos do servidor C2, dando aos atacantes controle total sobre o sistema infectado.
Os usuários são fortemente aconselhados a ter cautela ao baixar e instalar softwares, além de manter seus sistemas atualizados com os patches de segurança mais recentes.
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…