Historicamente, os usuários de Mac não tiveram que se preocupar tanto com malware quanto seus primos que usam Windows. Embora o malware direcionado a dispositivos da Apple realmente anteceda vírus escritos para PCs, e tenha havido algumas famílias de malware que representaram uma ameaça significativa para ambos os sistemas operacionais (por exemplo, os vírus macro do Word que atingiram computadores fortemente a partir de 1995 em diante), geralmente, é o caso de que você simplesmente é muito menos propenso a encontrar malware em seu Mac do que em seu PC Windows.

Mas isso não significa que os usuários de Mac devem ser complacentes. E a recente descoberta de uma nova cepa de malware enfatiza que a ameaça – embora muito menor do que no Windows – continua real.

Pesquisadores de segurança da SentinelOne alertaram que o novo malware, apelidado de “NotLockBit”, está direcionando sistemas macOS – sugerindo que os cibercriminosos estão procurando por vítimas que possam ter cometido o erro de estar mais relaxadas em relação à segurança de seus computadores.

Embora inicialmente tenha sido suspeitado que o malware estava ligado à notória gangue de ransomware LockBit, análises adicionais sugerem que a ameaça é uma cepa distinta, falsamente alegando afiliação.

Em uma operação que poderia ser quase descrita como uma “operação de bandeira falsa”, o NotLockBit usa o papel de parede característico do LockBit em uma tentativa de enganar vítimas e pesquisadores de segurança sobre sua origem.

NotLockBit alega ser a versão 2.0, e ainda assim o LockBit 3.0 foi lançado há algum tempo, e membros-chave da gangue LockBit foram presos e sua infraestrutura apreendida.

Ameaças anteriores de ransomware contra usuários de macOS foram em grande parte prova de conceito ou não se tornaram generalizadas.

O grupo genuíno de ransomware LockBit foi responsável por produzir uma versão de seu ransomware para macOS no ano passado, mas porque era com bugs e travava facilmente, não foi considerado uma ameaça séria.

O novo malware analisado pelos pesquisadores da SentinelOne tem sido distribuído como um binário x86-64 – o que significa que apenas rodará em Macs baseados em Intel e Macs que utilizam o serviço de emulação Rosetta.

Segundo os especialistas, o NotLockBit parece estar “em pleno desenvolvimento”, e atualmente não há vítimas conhecidas do malware ou evidências de que esteja sendo distribuído ativamente na natureza.

Mas se você encontrar o NotLockBit, em um Mac que possa executá-lo, então ele tentará exfiltrar arquivos do seu computador para buckets de armazenamento em nuvem da AWS, criptografando dados deixados para trás em seu Mac e adicionando um sufixo .abcd a seus nomes de arquivo.

A ameaça imediata desta amostra específica de ransomware foi reduzida por sua descoberta, após os atores da ameaça terem chamado a atenção dos pesquisadores enviando-o para o VirusTotal (aparentemente em uma tentativa de ver se algum produto antivírus o detectaria como malicioso).

Essa ação provocou a comunidade de segurança a agir, e as contas da AWS usadas pelos hackers durante o processo de exfiltração de dados foram removidas.

Mas seria tolo pensar que mais trabalho não será feito neste e em outros ransomwares para Mac nos meses e anos futuros. Como sempre, empresas cujos funcionários usam Macs seriam sábias em protegê-los com soluções de segurança para reduzir a chance de serem o elo fraco através do qual um hacker malicioso pode causar estragos em toda uma organização.