O malware, detetado pela primeira vez em sistemas Windows, ameaça agora o sistema operativo macOS, permitindo potencialmente o movimento lateral da rede e o roubo de dados.
A versão macOS do HZ Rat é distribuída através de um falso instalador da aplicação “OpenVPN Connect”. Este instalador contém o cliente VPN legítimo juntamente com dois ficheiros maliciosos: a própria backdoor e um script que lança a backdoor juntamente com o cliente VPN. Assim que a backdoor é iniciada, liga-se ao servidor dos atacantes usando uma lista pré-determinada de endereços IP, com toda a comunicação encriptada para evitar a deteção.
“A análise dos especialistas da Kaspersky mostra que o backdoor do macOS recolhe informações como o nome de utilizador da vítima, o endereço de e-mail do trabalho e o número de telefone dos ficheiros de dados desprotegidos do DingTalk e do WeChat”, disse Sergey Puzan, analista de malware da Kaspersky.
Acrescenta, ainda, que: “Embora o malware esteja atualmente apenas a recolher dados, algumas versões utilizam endereços IP locais para comunicar com o servidor dos atacantes, o que sugere a possibilidade de movimento lateral dentro da rede da vítima. Isto também sugere que os atacantes podem estar a planear ataques direcionados”.
O HZ Rat foi descoberto pela primeira vez em novembro de 2022, quando os investigadores da DCSO descobriram a versão Windows do malware. A descoberta da variante macOS do HZ Rat indica que o grupo por detrás dos ataques anteriores ao Windows ainda está ativo. Embora os seus objetivos finais ainda não sejam claros, os dados recolhidos podem ser utilizados para reunir informações para encenar futuros ataques.