Novo vírus é capaz de se instalar nas memórias do Mac
Por Felipe Demartini | 04 de Agosto de 2015 às 10h14
Parece que os dias em que os computadores da Apple eram reconhecidos por serem praticamente invulneráveis a ataques estão ficando para trás. Um grupo de pesquisadores de segurança anunciou a criação de um worm capaz de se instalar diretamente na BIOS de computadores ou dispositivos compatíveis com o Mac OS X, permanecendo oculto de softwares de segurança e criando backdoors para acesso remoto.
A praga, batizada de Thunderstrike 2, será exibida na prática durante as conferências BlackHat USA e DEFCON 2015, que acontecem nesta semana, mas já teve seus detalhes divulgados na rede. Como o nome já diz, trata-se da evolução de um vírus que já havia causado preocupações no início do ano devido às suas semelhanças com o Stuxnet, o worm que, em 2013, foi encontrado em usinas nucleares iranianas e estariam relacionados a tentativas de espionagem e controle por governos estrangeiros.
A diferença é que, enquanto o primeiro Thunderstrike exigia acesso físico ao computador, a nova versão pode ser instalada por meio de redes sem fio, e-mails falsos e até mesmo acessórios. No último caso, basta conectar um periférico infectado à porta Thunderbolt de um Mac para que a instalação aconteça sem qualquer interferência ou conhecimento por parte do usuário.
Mesmo uma formatação completa do sistema é incapaz de matar a praga, uma vez que ela acaba instalada na BIOS e roda antes mesmo do próprio sistema operacional. De acordo com os especialistas, a única maneira de se livrar o Thunderstrike 2 seria realizando o flash manual do chip, e mesmo assim, caso o vírus já tenha se espalhado pela rede, até mesmo esse processo pode ser inútil, já que ele é programado para encontrar computadores limpos e realizar a infecção.
O caminho contrário também pode acontecer e o vírus também é capaz de infectar a BIOS de determinadas categorias de dispositivos, como HDs externos ou modems de internet móvel. Dessa maneira, o Thunderstrike expande seu raio de atuação também para o mundo offline, já que basta a conexão entre os aparelhos para que a infecção aconteça.
Na sequência, para que um hacker efetivamente assuma o controle da máquina, é preciso que uma segunda vulnerabilidade esteja presente. Os especialistas responsáveis pela praga devem demonstrar o acesso acontecendo através de brechas no código de sistemas populares como o Java e o Flash, o que torna o worm altamente explorável para fins criminosos ou de espionagem.
A praga é obra dos especialistas Trammel Hudson, responsável pelo primeiro Thunderstrike, ao lado dos hackers Xeno Kovah e Corey Kallenberg. Eles afirmam que patches lançados originalmente para a primeira versão do worm podem até ser eficazes contra a nova praga, mas passam longe de resolvê-la completamente.
E o pior de tudo – muitas vezes os usuários infectados nem mesmo saberão que suas máquinas estão comprometidas. Além de não ser detectado por antivírus e outros softwares de segurança, o Thunderstrike 2 somente pode ser revelado por meio de uma análise complexa do firmware do dispositivo, algo que apenas especialistas bastante gabaritados e com as ferramentas certas seriam capazes de fazer.
Além disso, os responsáveis pela praga apontam os dedos para a própria Apple por ter negligenciado a segurança do Mac OS. Segundo eles, muitas das ameaças descobertas recentemente para o sistema foram corrigidas apenas parcialmente e agora podem muito bem ser utilizadas em conjunto com o Thunderstrike 2.
Como já é de praxe no comportamento de hackers white hat, o trio de especialistas não vai liberar publicamente o vírus em si, apenas exibir seu funcionamento e alertar ao mundo sobre a possibilidade como forma de forçar a Apple a corrigir suas falhas. Mas apenas a notícia de que uma brecha desse tipo pode existir, porém, já pode ser motivo suficiente para que indivíduos maliciosos também comecem a trabalhar na criação de worms semelhantes. E é aí que está o verdadeiro perigo.