Cibercriminosos chineses conhecidos como Daggerfly (também conhecido como Evasive Panda ou Bronze Highland) foram observados atacando usuários do macOS com uma versão atualizada de seu malware proprietário .
Um relatório da Symantec afirma que a nova variante provavelmente foi introduzida porque variantes mais antigas ficaram muito expostas.
O malware em questão é chamado Macma. É um backdoor do macOS que foi observado pela primeira vez em 2020, mas ainda não se sabe quem o construiu. Os pesquisadores acreditam que ele tem sido usado desde pelo menos 2019, principalmente em ataques de watering hole contra sites comprometidos em Hong Kong. Sendo um backdoor modular, as principais funcionalidades do Macma incluem impressão digital do dispositivo, execução de comandos, captura de tela, keylogging, captura de áudio e upload/download de arquivos dos sistemas comprometidos.
Alvos taiwaneses e americanos
A descoberta de variantes recentes do Macma é uma prova de “desenvolvimento contínuo”, explicaram ainda os pesquisadores, dizendo que também observaram uma segunda versão do Macma contendo atualizações incrementais para a funcionalidade existente.
Aparentemente, a Daggerfly estava usando o Macma contra organizações em Taiwan e uma organização não governamental americana na China. Nesses ataques, ele usou mais do que apenas Macma. A Symantec diz que abusou de uma vulnerabilidade em um servidor HTTP Apache para também implantar seu malware MgBot, uma estrutura modular observada pela primeira vez em 2008. No passado, o MgBot foi visto sendo usado em ataques direcionados, principalmente porque era excepcionalmente bom em escapar da detecção, enquanto permanecia persistente.
A estrutura é projetada para ser altamente adaptável, permitindo que os operadores implantem vários plugins e módulos para executar diferentes atividades maliciosas, dependendo do alvo e dos objetivos. Essas atividades podem incluir roubo de dados, keylogging, captura de telas e controle remoto do sistema infectado.
Finalmente, o Dggerfly usou um backdoor do Windows chamado Trojan.Suzafk, documentado pela primeira vez pela ESET em março deste ano (os pesquisadores o chamaram de Nightdoor, ou NetMM). O Suzafk foi desenvolvido usando a mesma biblioteca compartilhada usada no Mgbot, Macma e várias outras ferramentas do Daggerfly, acrescentou a Symantec. O Suzafk é um backdoor multiestágio capaz de usar TCP ou OneDrive para C&C.
Por meio do BleepingComputer