Na semana retrasada, um trojan denominado OSX/Dok foi descoberto pelo grupo de segurança Check Point. O malware, uma vez instalado no Mac, passaria a interceptar todo o tráfego do usuário — incluindo tráfego https — possibilitando o roubo de senhas, cartões de crédito, informações pessoais e etc.
Na semana passada, um pesquisador da MalwareBytes descobriu uma forma ainda mais avançada do malware, que foi denominada Bella. Ambos os malwares tem o mesmo método de infecção: um aplicativo compactado chamado Dokument.app, que se passa por um documento, e ambos são assinados pelo mesmo certificado.
Bella seria capaz de roubar o conteúdo de mensagens trocadas por iMessage ou SMS, localizar dispositivos usando os recursos Buscar iPhone e Buscar Amigos, roubar senhas, capturar dados do microfone e câmera, capturar o conteúdo da tela e executar código remoto. Bella também era capaz de assumir a conta de administrador do sistema, podendo essencialmente tomar controle do Mac por inteiro.
No dia 2 de maio, a Apple revogou o certificado utilizado para assinar os dois trojans, o que impede que novas infecções ocorram. Infelizmente, isso não quer dizer que o malware deixará de ser uma ameaça. Segundo Thomas Reed, diretor de produtos Mac na MalwareBytes, o fato do malware ser de código aberto e surpreendentemente sofisticado para um script feito em Python garante que, provavelmente, variações do malware serão distribuídas por outros meios.
Além de revogar o certificado, a Apple lançou uma atualização para o XProtect, sistema de segurança nativo do macOS, focada em lidar com o OSX/Dok e variações.
Mais informações podem ser lidas aqui, aqui e aqui. Todos os links possuem conteúdos em inglês.