Título: Hackers abusam de certificados de EV para assinar malware DMG completamente indetectável - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-10-01 13:37:29
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/hackers-abusam-de-certificados-de-ev-para-assinar-malware-dmg-completamente-indetectavel-against-invaders-noticias-de-cybersecurity-para-humanos/1683/

Os pesquisadores de seguran&ccedil;a descobriram uma nova campanha de malware do MacOS na qual os atores de amea&ccedil;as est&atilde;o abusando de certificados de assinatura de c&oacute;digo de valida&ccedil;&atilde;o (EV) para distribuir cargas de pagamento de disco completamente indetect&aacute;veis &#8203;&#8203;(FUD) (DMG). 
Embora o abuso de certificado de EV tenha atormentado o ecossistema do Windows, sua expans&atilde;o no malware do MACOS marca uma escalada significativa na explora&ccedil;&atilde;o de assinatura de c&oacute;digo.
Uma amostra DMG fresca (SHA-256: A031BA81111D0C11ACFEDE9AB83B4BE8274584DA71BCCC88FF72E2D51957DD7) foi identificada por um novo ID do desenvolvedor: Thomas Boulay Duval (J97GLQ5). 
Os certificados de EV exigem verifica&ccedil;&atilde;o rigorosa da identidade e investimento financeiro substancial por desenvolvedores leg&iacute;timos. Na plataforma da Apple, os certificados de EV s&atilde;o concedidos com modera&ccedil;&atilde;o e a alto custo e representam o padr&atilde;o-ouro para a confian&ccedil;a de assinatura de c&oacute;digo. 
No entanto, os advers&aacute;rios obtiveram esses certificados &ndash; seja por roubo, compra atrav&eacute;s de canais il&iacute;citos ou abuso de documentos de identidade comprometidos &ndash; para assinar seu malware. Uma vez assinado, as cargas &uacute;teis da DMG parecem leg&iacute;timas para macos verifica&ccedil;&otilde;es de seguran&ccedil;a e s&atilde;o prontamente instaladas pelos usu&aacute;rios.
Os operadores de campanha anexam fragmentos do nome do signat&aacute;rio ao identificador do pacote em uma tentativa grosseira de fingir legitimidade &ndash; a Balaban.sudoku imita &ldquo;Alina Balaban&rdquo; e Thomas.parfums ecoa &ldquo;Thomas Boulay Duval&rdquo;. Apesar dessa manobra, a inspe&ccedil;&atilde;o mais profunda revela facilmente comportamentos maliciosos.
Descobrindo o lan&ccedil;ador malicioso
An&aacute;lise do execut&aacute;vel Mach-O dentro do DMG revela V&aacute;rias refer&ecirc;ncias &agrave; palavra francesa &ldquo;Parfums&rdquo; incorporadas em tabelas de cordas. 
O AppleScript incorporado &eacute; buscado em tempo de execu&ccedil;&atilde;o de um URL remoto (FranceParfumes[.]org/parfume), semelhante &agrave;s t&eacute;cnicas descritas por @osint_barbie em um t&oacute;pico recente do Twitter. 
Depois de executado, o AppleScript cai e executa uma carga &uacute;til em segundo est&aacute;gio identificada como ladr&atilde;o de Odyssey, um Trojan de colheita de credenciais visto anteriormente nas implanta&ccedil;&otilde;es do Windows. 
O script chama as APIs do sistema via Swift dataTaskWithURL:completionHandler: M&eacute;todo para baixar o roubo bin&aacute;rio e execut&aacute; -lo sob o cont&ecirc;iner assinado sem arrecadar alertas.
Impacto operacional e COI
O uso indevido dos atores de amea&ccedil;as dos certificados de EV mina Ma&ccedil;&atilde; Modelo de confian&ccedil;a de assinatura de c&oacute;digo. Assim que esses certificados forem relatados e adicionados &agrave; lista de revoga&ccedil;&atilde;o, as campanhas subsequentes de malware n&atilde;o ser&atilde;o lan&ccedil;adas em sistemas atualizados. 
No entanto, a janela de oportunidade para a implanta&ccedil;&atilde;o n&atilde;o detectada pode durar dias ou semanas &ndash; o tempo suficiente para comprometer in&uacute;meras v&iacute;timas.
Indicadores de compromisso:

SHA-256: A031BA8111DED0C11ACFEDE9AB83B4BE8274584DA71BCC88FF72E2D51957DD7.
Dom&iacute;nio: FranceParfumes[.]org/parfume.
Endere&ccedil;o IP: 185.93.89.62.

As equipes de seguran&ccedil;a podem monitorar os certificados de EV abusados &#8203;&#8203;pelo Odyssey Stealer atrav&eacute;s da pesquisa p&uacute;blica da CertCentral em certCentral.org/LOOKUP?DETAIL_TYPE=Malware&amp;Query=odyssey+Stealer, mantida pelo @SquableDoBlog.
O uso de certificados EV para assinar malware macOS representa uma mudan&ccedil;a preocupante na explora&ccedil;&atilde;o de assinatura de c&oacute;digo. 
As organiza&ccedil;&otilde;es e os usu&aacute;rios finais devem permanecer vigilantes-verificando a legitimidade do certificado al&eacute;m dos avisos do gatekeeper e alavancar feeds de intelig&ecirc;ncia de amea&ccedil;as para bloquear dom&iacute;nios maliciosos e certificados revogados. 
Relat&oacute;rios r&aacute;pidos e revoga&ccedil;&atilde;o de certificados de EV abusados &#8203;&#8203;s&atilde;o essenciais para interromper essas campanhas e proteger os ambientes de MacOS de amea&ccedil;as assinadas de maneira semelhante.
Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualiza&ccedil;&otilde;es instant&acirc;neas e definir GBH como uma fonte preferida emGoogle.