confiante encontrado que as campanhas de anúncios maliciosos nos EUA, Itália e Japão estavam espalhando o malware Tarmac, dirigido a usuários de MacOS.
Tele metas do guincho, bem como a sua funcionalidade, ainda não foram totalmente estudados.“Os criminosos virtuais, grupos APT, atores estatais nação, são extensivamente segmentação iOS Apple / dispositivos MacOS, por várias razões: inovação e desenvolvimento de plataformas Apple contínua leva em última instância a novas superfícies de ataque (e mais de 0-dia vendido no subsolo)”, - especialistas relatório Confiant.
O ataque começa com o anúncio malicioso de lançar o código malicioso no navegador da vítima e redirecioná-lo para um site que exibe pop-ups informando que o usuário precisa instalar urgentemente de uma atualização de software (geralmente este é o Adobe Flash Player). Os usuários que se enquadram nesta truque, Claro, receber não uma atualização, mas dois malwares de uma só vez: OSX / Shlayer, Assim como OSX / Tarmac.
De acordo com Confiant, esta campanha publicitária Shlayer e Tarmac atua desde janeiro deste ano. Vale ressaltar que os pesquisadores da empresa escrevi sobre Shlayer último inverno, mas então eles não poderiam encontrar Tarmac.
“Confiant detectados e analisados OSX / Shlayer desde Janeiro de 2019, proveniente de uma malvertiser que Confiant apelidaram VeryMal. É estimado com base no escopo da nossa cobertura que tantos como visitantes 5MM talvez ter sido sujeita a este recente campanha de malware”, - explicam os especialistas Confiant.
Agora, especialistas têm complementado o seu relatório sobre esta campanha ainda está ativa e sua carga útil.
Tarmac age como uma carga útil da segunda fase da infecção, Isso é, ele entra em jogo depois Shlayer. Todas as versões de Tarmac descobertos pelo pesquisador acabou por ser relativamente antigo, e os servidores de gerenciamento não funcionou no momento em que o malware foi descoberto (Provavelmente, eles foram movidos para outro lugar). Isto tornou difícil analisar a ameaça, e os pesquisadores não foram capazes de entender completamente como funciona a Tarmac.
No momento, sabe-se que Tarmac é finalmente instalado nos hosts Shlayer-infectados, que recolhe informações sobre as configurações e equipamentos da vítima, e, em seguida, transfere essas informações para seu servidor de gerenciamento. Após o malware está esperando por novos comandos, mas uma vez que o C&servidores C não funcionou, ainda não foi possível determinar a funcionalidade do malware. Especialistas acreditam que a ameaça pode ser muito perigoso, capaz de baixar e instalar aplicativos adicionais, e vão continuar o estudo.
Leia também: Devido à vulnerabilidade no Twitter API, milhares de aplicações iOS está sob o ataque
Os pesquisadores acrescentam que payloads Tarmac são assinados com certificados legítimos desenvolvedores da Apple, e como resultado, Gatekeeper e XProtect não parar a instalação do malware e não exibir quaisquer avisos.
