Um novo malware Hidden Virtual Network Computing (hVNC) direcionado a dispositivos macOS está sendo anunciado em um importante fórum de crimes cibernéticos, alerta a empresa israelense de segurança cibernética Guardz.
Comumente utilizado para suporte técnico, o Virtual Network Computing (VNC) suporta o controle remoto de computadores pela rede, com o conhecimento do usuário do dispositivo, que pode assistir na tela as ações realizadas.
O hVNC, por outro lado, é usado de forma maliciosa, permitindo que agentes de ameaças assumam o controle de sistemas remotos sem o conhecimento do usuário.
Desde abril de 2023, o novo malware macOS hVNC foi oferecido em um fórum de hackers russos por US$ 60.000, anunciado com recursos que o tornam uma ameaça para pequenas e médias empresas (PMEs).
O malware está sendo anunciado por um agente de ameaça que usa o nome de usuário ‘RastaFarEye’ e que afirma que a ferramenta foi testada nas versões 10 a 13.2 do macOS e que pode fornecer acesso persistente a sistemas comprometidos.
Ademais, o malware é anunciado com shell reverso e recursos de gerenciamento de arquivos, detecção de navegador e pode ser executado sem solicitar permissões do usuário.
O principal objetivo do malware, diz Guardz, parece ser o roubo de informações confidenciais, incluindo credenciais, informações pessoais e financeiras e outros tipos de dados. A ameaça também fornece aos invasores um controle remoto furtivo sobre as máquinas infectadas.
O desenvolvedor do malware, que exige um pagamento de US$ 20.000 para entregar um carregador que expande os recursos da ferramenta, atualizou o malware pelo menos uma vez desde abril.
Membro do fórum de crimes cibernéticos desde 2021, o RastaFarEye também é conhecido por oferecer outras ferramentas maliciosas, incluindo uma variante de malware hVNC voltada para o Windows.
O desenvolvedor de malware tem status de ‘vendedor’ no fórum – um endosso dos administradores do fórum – e fez um depósito de US$ 100.000 para o novo malware macOS, mostrando a outros cibercriminosos que um agente de ameaça de alto perfil está por trás do anúncio.
“Esse dinheiro é mantido na conta caução da administração do fórum como uma espécie de seguro clandestino caso o produto oferecido não seja o descrito na postagem original”, explica Guardz.
A empresa de segurança observa que esse malware pode ser integrado a serviços de cibercrime de ‘ataque como serviço’, instando as PMEs a aumentar suas defesas e educar usuários e funcionários sobre os riscos de phishing e downloads não confiáveis.