Os investigadores da Kaspersky identificam uma variante macOS da backdoor HZ Rat que visa os utilizadores do WeChat e do DingTalk, duas populares plataformas de mensagens chinesas. O malware, detectado pela primeira vez em sistemas Windows, ameaça agora o sistema operativo da Apple permitindo potencialmente o movimento lateral da rede e o roubo de dados.
Esta versão do HZ Rat é distribuída através de um falso instalador da aplicação OpenVPN Connect e contém o cliente VPN legítimo juntamente com dois ficheiros maliciosos: a backdoor e um script que a lança juntamente com o cliente VPN. Assim que a backdoor é iniciada, liga-se ao servidor dos atacantes usando uma lista pré-determinada de endereços IP, com toda a comunicação encriptada para evitar a detecção.
«A análise dos especialistas da Kaspersky mostra que o backdoor do macOS recolhe informações como o nome de utilizador da vítima, o endereço de e-mail do trabalho e o número de telefone dos ficheiros de dados desprotegidos do DingTalk e do WeChat», disse Sergey Puzan, analista de malware da Kaspersky.
O responsável acrescenta que, «embora o malware esteja actualmente apenas a recolher dados, algumas versões utilizam endereços IP locais para comunicar com o servidor dos atacantes, o que sugere a possibilidade de movimento lateral dentro da rede da vítima. Isto também sugere que os atacantes podem estar a planear ataques direccionados».
O HZ Rat foi descoberto pela primeira vez em Novembro de 2022, quando os investigadores da DCSO descobriram a versão Windows do malware. A descoberta da variante macOS indica que o grupo por detrás dos ataques anteriores ainda está activo. Embora os seus objectivos finais ainda não sejam claros, os dados recolhidos podem ser utilizados para reunir informações para encenar futuros ataques.
