Os computadores MacBook Air, MacBook Pro e Mac mini revelados em novembro de 2020 representam uma grande mudança para a Apple. Com o novo sistema-em-um-chip (SoC) M1 da empresa, os novos dispositivos marcam o início de um processo de transição: de dois anos da arquitetura baseada na Intel para os processadores próprios da Apple, conhecidos como Apple Silicon. Apenas algumas semanas depois do anúncio, o primeiro malware capaz de ser executado nativamente nos SoCs M1 foi encontrado por pesquisadores de segurança cibernética. O que muda na segurança do Mac com a transição para Apple Silicon, e como se espera que o panorama de ameaças da Apple evolua? Vamos analisar os tipos mais recentes de malware para Mac, Silver Sparrow, Pirrit e XCSSET, além das ameaças mais abrangentes para a segurança do Mac.
Recursos de segurança no Apple Silicon
A história do Apple Silicon começa com o primeiro iPhone da empresa lançado em 2010. A Apple já desenvolve seus próprios chipsets personalizados baseados na arquitetura ARM para seus dispositivos móveis, vestíveis e dispositivos de casa inteligente. No entanto, os computadores MacBook e iMac sempre tiveram processadores Intel baseados na arquitetura de CPU x86 desde 2005, quando a empresa parou de usar processadores PowerPC da IBM. Agora, com a adoção do Apple Silicon na linha Mac, a Apple tem como objetivo fortalecer seu ecossistema, estabelecendo uma arquitetura comum para todas as linhas de produtos Apple.
Os chipsets baseados em ARM da Apple são conhecidos por sua segurança e criptografia superiores, pelas quais o coprocessador Secure Enclave é responsável. O Secure Enclave foi introduzido primeiramente no processador Apple A7, quando a Apple revolucionou o mundo dos dispositivos móveis introduzindo o Touch ID com o iPhone 5S. O coprocessador Secure Enclave inclui um gerenciador de chaves baseado em hardware, isolado do processador principal e capaz de manter a segurança de operações criptográficas mesmo se o kernel do dispositivo for comprometido. Em conjunto com o mecanismo de criptografia AES-256, ele protege informações sensíveis como dados biométricos.
O novo chip octa-core M1 da Apple inclui a versão mais nova do Secure Enclave, criptografia AES-256 e um boot seguro verificado por hardware que verifica que o software carregado durante a inicialização contenha somente código aprovado pela Apple. Como a Apple explica: “o chip M1 da Apple foi projetado para verificar se a versão do software macOS carregado durante a inicialização é autorizado pela Apple, e ele continua seu trabalho ao fundo, para proteger as autorizações estabelecidas para o macOS durante a execução.”
Como qualquer tecnologia nova e empolgante, o novo chip M1 dos novos Macs chamou a atenção de desenvolvedores. Assim como desenvolvedores de apps legítimos correram para criar apps compatíveis com os novos MacBooks, os desenvolvedores de malware também. Apesar da arquitetura ARM não ser tão popular quanto a x86, levou apenas alguns meses para os primeiros malwares nativos do M1 aparecerem: Silver Sparrow e Pirrit. O mito que os computadores Apple são seguros por padrão já foi desafiado diversas vezes e a agilidade com a qual tipos de malware para Mac foram adaptados para a nova arquitetura é apenas mais uma prova de que Macs também precisam de segurança adicional.
Malware nativo do Apple M1
Silver Sparrow
Descoberto por pesquisadores da Red Canary em fevereiro de 2021, o Silver Sparrow é um tipo curioso de malware porque não possui um payload de fato, o que quer dizer que ele não tem uma funcionalidade. Até o momento, os 40.000 Macs infectados não foram afetados pelos componentes adicionais ativados depois de baixar o Silver Sparrow. Os binários recebidos eram simples “espectadores”, como foram chamados pela equipe de pesquisa da Red Canary. Isso fez com que alguns pesquisadores de segurança cibernética considerassem o Silver Sparrow como uma simples prova de conceito que se espalhou para um grande número de dispositivos. Mas isso não significa que não seja uma ameaça para a segurança do Mac.
“Mesmo que pareça que o Silver Sparrow ainda está nos estágios iniciais de desenvolvimento e atividade, o fato dele conseguir baixar e executar qualquer binário furtivamente traz muitas preocupações em termos de segurança, mas também dá uma ideia da motivação dos invasores: eles podem usar esse método para evoluir ainda mais o Silver Sparrow, transformando-o em uma ameaça mais séria ou para baixar outras famílias de malware, utilizando o Silver Sparrow como um rentável canal de distribuição para outros arquivos maliciosos”, disse Bogdan Anghelache do Avira Protection Labs.
De acordo com o Avira Protection Labs, existem duas versões dessa família de malware: uma compilada apenas para a arquitetura Intel x86_64 (pode ser reconhecida pelo string IOC agent_updater) e uma compilada para ambas arquiteturas Intel x86_64 e Apple M1 ARM (pode ser reconhecida pelo string IOC verx_updater).
Pirrit
Pirrit é um adware que já é distribuído como software utilitário desde 2016. Disfarçado como reprodutor de vídeo ou leitor de PDF, o Pirrit infecta dispositivos macOS e Windows. Ele tem a capacidade de se tornar persistente, o que significa que pode ser executado em segundo plano criando um LaunchDaemon e fingindo ser um aplicativo legítimo da Apple.
O Pirrit é usado para espionar as atividades dos usuários no navegador e injetar anúncios. Depois de instalado, ele tipicamente faz varredura das extensões instaladas no Safari e as remove. Ao conduzir suas atividades de espionagem e injeção de anúncios, o OSX Pirrit evoluiu de baixar e instalar injeções maliciosas no navegador para modificar propriedades internas de diferentes navegadores instalados como Firefox e Chrome. Ele também altera o mecanismo de busca padrão do navegador para “tika-search.com” ou “delta-search.com”. OSX Pirrit utiliza um binário criado especialmente que é executado em segundo plano para controlar o navegador alvo e monitorar as atividades do usuário. Com base na atividade (links visitados, pesquisas feitas), esse componente malicioso injeta anúncios em páginas da web ou abre novas abas com anúncios específicos.
XCSSET
Desenvolvedores Apple utilizam Xcode, o ambiente de desenvolvimento integrado da Apple, para programas apps MacOS. No ano passado, pesquisadores de segurança cibernética encontraram malware em projetos Xcode e agora esse malware também chegou em Macs com M1. Conhecido como XCSSET, o malware que tinha como alvo desenvolvedores Mac pode sequestrar o Safari, injetando código JavaScript malicioso em sites, além de copiar e criptografar arquivos do usuário.
Com os projetos Xcode infectados são modificados para executar um código malicioso, o XCSSET não afeta apenas o computador da vítima, mas também os de todos os usuários para quem os desenvolvedores distribuem seus projetos. Com muitos desenvolvedores colaborando em plataformas como o GitHub, o malware pode se espalhar facilmente e gerar ataques à cadeia de suprimentos.
Como se espera que o panorama de ameaças Mac evolua?
A Apple acabou de começar sua transição para processadores ARM em computadores Mac e as arquiteturas Intel x86 e ARM irão coexistir por um bom tempo. Neste momento a arquitetura x86 da Intel ainda domina o mercado e, consequentemente, o volume de malwares para dispositivos x86 é muito maior. Mas o interesse dos criminosos pela arquitetura ARM vai crescer junto do interesse do público. Silver Sparrow, Pirrit e XCSSET são apenas as primeiras de muitas ameaças direcionadas para Macs com ARM que devem ameaçar a segurança do Mac.
Para usuários finais, é importante estar ciente dos perigos que existem, desde os diferentes tipos de vírus e malware até phishing e outros ataques elaborados de engenharia social. Com um bom conhecimento das ameaças e das ferramentas corretas para proteger seus dispositivos e dados, o risco de virar uma vítima é baixo. Para ter mais proteção, não deixe de conferir o Avira Free Security para MacOS.