Uma nova campanha de malware direcionada a usuários do macOS surgiu com um foco perigoso no roubo de carteiras de criptomoedas.
O malware, chamado Nova Stealer, usa uma abordagem inteligente para enganar as vítimas, substituindo aplicativos genuínos de criptomoeda por versões falsas que roubam frases de recuperação de carteira.
Este ladrão baseado em bash foi identificado atacando usuários de carteiras de criptomoedas populares, incluindo Ledger Live, Trezor Suite e Exodus.
O ataque começa quando um conta-gotas desconhecido baixa e executa um script chamado mdriversinstall.sh do servidor de comando e controle em hxxps://ovalresponsibility(.)com/mdriversinstall(.)sh.
Este script inicial cria um diretório oculto em ~/.mdrivers e instala vários componentes, incluindo um gerenciador de scripts e um iniciador.
O malware gera um ID de usuário exclusivo usando o comando uuidgen e o armazena em ~/.mdrivers/user_id.txt para rastrear sistemas infectados.
Os pesquisadores de segurança do BruceKetta.space identificaram a campanha Nova Stealer e observaram seu design modular. O malware usa um script orquestrador chamado mdriversmngr.sh que baixa módulos adicionais do servidor de comando e controle.
Esses módulos vêm codificados no formato base64 e são armazenados em ~/.mdrivers/scripts. O malware alcança persistência criando um arquivo plist LaunchAgent denominado application.com.artificialintelligence que garante que os scripts sejam executados automaticamente a cada inicialização do sistema.
Uma técnica particularmente interessante usada pelo Nova Stealer é executar scripts dentro de sessões de tela desanexadas usando o comando screen -dmS .
Essa abordagem mantém os processos maliciosos em execução de forma independente em segundo plano, ocultos da visão do usuário. Os processos sobrevivem até mesmo quando os usuários efetuam logout porque são executados como sessões daemon com o sinalizador -dmS.
Troca de aplicativos e roubo de frase inicial
A capacidade mais perigosa do Nova Stealer envolve a troca de aplicativos legítimos de carteira de criptomoedas por versões falsas.
O componente de malware mdriversswaps.sh detecta se Ledger Live ou Trezor Suite estão instalados no sistema verificando os caminhos em /Applications/.
Quando encontrado, o script remove os aplicativos originais usando rm -rf e exclui suas entradas do banco de dados do Launchpad por meio de comandos SQLite como DELETE FROM apps/items onde o título ou os ids correspondem.
Nova (Fonte – BruceKetta.space)
O malware então baixa aplicativos de substituição maliciosos de domínios específicos, incluindo hxxps://wheelchairmoments(.)com para o falso Ledger Live e hxxps://sunrisefootball(.)com para o falso Trezor Suite.
Esses arquivos ZIP são salvos em ~/Library/LaunchAgents/ e extraídos para substituir os aplicativos originais. O malware modifica a configuração do Dock usando /usr/libexec/PlistBuddy para excluir a entrada antiga do aplicativo e adicionar uma nova apontando para o aplicativo falso.
Os aplicativos de carteira falsos usam Swift e WebKit para renderizar páginas de phishing que parecem legítimas. Quando as vítimas abrem o que acreditam ser seu aplicativo de carteira, elas veem uma interface de recuperação solicitando que insiram suas frases iniciais.
O código JavaScript malicioso inclui validação em listas de palavras BIP-39 e SLIP-39 para fornecer funcionalidade de preenchimento automático, fazendo com que a interface falsa pareça autêntica.
Execução falsa de aplicativo (Fonte – BruceKetta.space)
À medida que os usuários digitam suas palavras de recuperação, os dados são enviados para os endpoints /seed e /seed2 com um atraso de 200 a 400 ms após cada pressionamento de tecla, permitindo que invasores capturem frases parciais em tempo real, sem esperar pelo envio final.
O Nova Stealer também executa módulos de exfiltração dedicados. O componente mdriversfiles.sh procura e rouba arquivos de carteira, incluindo logs Trezor IndexedDB, arquivos Exodus como passphrase.json e seed.seco, e app.json de Ledger.
Esses arquivos são carregados no servidor de comando e controle a cada 20 horas usando solicitações POST binárias. Além disso, mdriversmetrics.sh coleta informações do sistema, incluindo aplicativos instalados, processos em execução e itens do Dock, para ajudar os invasores a traçar o perfil das vítimas e melhorar suas campanhas.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
