Lockbit desenvolve malware para encriptar ficheiros em dispositivos Apple

O grupo de ransomware Lockbit está a desenvolver um malware capaz de criptografar arquivos em dispositivos macOS, de acordo com os investigadores da MalwareHunterTeam, que encontrou uma amostra da ameaça. Pouco depois, o Vx-Underground descobriu indícios de que o malware existe desde, pelo menos, novembro de 2022. Quando a primeira amostra foi descoberta nenhum dos mecanismos antimalware do VirusTotal estavam a detetá-lo. 

O especialista de segurança da Apple, Patrick Wardle conduziu uma análise da versão macOS do Lockbit e descobriu que, embora possa ser executado em Mac e seja capaz de criptografar arquivos, atualmente não representa um risco. A amostra analisada foi assinada, mas não com um certificado confiável, o que significa que o macOS impede que seja executada.

O investigador também notou que, mesmo que o ransomware consiga entrar num dispositivo Apple, as proteções do sistema de arquivos implementadas pela Apple, como Transparency, Consent and Control (TCC), provavelmente vão limitar significativamente o seu impacto.  

Adicionalmente, o especialista descobriu que o malware tem bugs que podem fazer com que termine repentinamente quando executado no macOS. Durante a sua análise, encontrou partes do malware que sugerem que uma parte do código do malware foi desenhado para atingir sistemas Windows. Também há indicação de que algum do seu código Linux foi recompilado para macOS. 

“Embora possa ser a primeira vez que um grande grupo de ransomware criou ransomware capaz de ser executado no macOS, vale a pena notar que esta amostra está longe de estar pronta. Desde a falta de uma assinatura de código válida até sua ignorância do TCC e outras proteções do sistema de arquivos do macOS como está, ele não representa nenhuma ameaça para os utilizadores do macOS”, disse Patrick Wardle.