MacOS: o novo alvo

Ainda hoje, é senso comum acreditar que o sistema operacional da Apple, o macOS, é livre de ameaças on-line e que vírus e malware são desenvolvidos apenas para Windows e Linux. Essa atitude pode trazer grandes riscos para pessoas e empresas de todos os portes, pois hoje existe sim uma grande variedade de ameaças para usuários desta plataforma.

Em uma pesquisa que iniciei em 2015, pude verificar que além dos malware existirem para macOS, seu comportamento e desenvolvimento vem evoluindo com muita rapidez.

O principal ponto observado foi a mudança na programação das ameaças para o sistema operacional da Apple. Tipicamente, eram conhecidas ameaças nos arquivos nas variações de variações de PE (Binários EXE do Windows) ou ELF (Binários do Linux), ainda com outros formatos para suportar o transporte de ameaças para um determinado alvo, tais como JPG, GIF, HTML, DLL, PDF etc.

Hoje, o criminoso virtual está lançando mão do binário Mach-O, utilizado em arquivos nativos do macOS e iOS, padronizados pela empresa da maçã. Falando de maneira mais simples, são ameaças desenvolvidas desde o início mirando sistemas da Apple.

Analisando os relatórios de submissão de arquivos ao site VirusTotal (que não necessariamente são arquivos maliciosos), podemos notar uma escalada assustadora. Em 2014, o número de amostras analisadas no formato Mach-O foi zero, saltando para mais de três mil em 2015, oito mil em 2016 e em 2017, em apenas uma semana, foram quase 90 mil amostras submetidas para análise. Isso demonstra claramente o aumento de ferramentas usadas para atacar especificamente usuários de macOS e construídas em arquivos Mach-O.

Em 2016, tivemos um marco neste tipo de ameaça, o ransomware “KeRanger”. Basicamente ransomware é uma categoria de malware cujo o objetivo é “sequestrar” arquivos, seja de um desktop ou servidor, criptografa-los e posteriormente enviar um pedido de resgate para liberação da chave que faz a descriptografia destes arquivos. Esta ameaça já vinha sendo bastante utilizada, principalmente em sistemas Windows, afetando não somente grandes empresas, mas também pequenas e até usuários domésticos que tiveram seus arquivos inutilizados.

Mas a pergunta que sempre faço para entender o modo de operação de malware é: “O que é mais interessante para um criminoso? ” Tratando-se de qualquer indivíduo que utiliza dos meios eletrônicos para roubar dinheiro. Criar um malware para infectar milhares de hosts Windows/Linux ou mirar em usuários específicos que provavelmente tenham um saldo bancário um pouco mais recheado? Basta consultar a loja da Apple para ver que o notebook de entrada da empresa custa mais de que o dobro de um dispositivo que utiliza Windows. Não há dúvidas de que cibercriminosos encontraram aí uma vantagem para seus atos ilícitos.

Portanto, não há mais como dar chances ao cibercrime, se você ou sua empresa usa dispositivos com macOS, proteja-se com plataformas de segurança unificada, busque por falhas no sistema da empresa, utilize firewalls, antivírus e quaisquer outros meios que tradicionalmente são usados em outros sistemas como Windows e Linux.

*Ricardo Amaral é gerente de Produto VCM da BLOCKBIT