A campanha de malware ClickFix visa utilizadores de Mac que procuram ajuda

Os atacantes estão a publicar guias falsos de resolução de problemas do macOS no Medium, Craft e Squarespace. O objetivo é fazer com que os utilizadores executem comandos no Terminal que instalam malware direcionado a dados do iCloud, passwords guardados e carteiras de criptomoedas.

A Equipa de Pesquisa de Segurança do Defender da Microsoft publicou as descobertas. A campanha está a decorrer desde o final de 2025. Ela aproveita-se de utilizadores de Mac que procuram ajuda com problemas comuns, como libertar espaço no disco ou corrigir erros do sistema.

Em vez de oferecer uma solução legítima, as páginas dizem aos utilizadores para copiarem um comando e o colarem no Terminal. Esse comando descarrega e executa malware.

As publicações enganosas dizem aos leitores para copiarem um comando malicioso e o colarem no Terminal. Este comando descarrega malware e executa-o no computador da vítima.

A técnica chama-se ClickFix. É uma engenharia social que transfere a responsabilidade de lançar a carga útil para a vítima. Como o utilizador executa o comando diretamente no Terminal, o Gatekeeper do macOS nunca inspecciona a carga útil.

O Gatekeeper normalmente verifica a assinatura de código e a notarialidade em pacotes de aplicações abertos através do Finder, mas este método contorna-o completamente.

Os atacantes lançaram três campanhas com o mesmo objetivo

A Microsoft detectou três instaladores de campanha:

Um carregador.

Um script.

Um ajudante.

Todos eles recolhem dados sensíveis, estabelecem persistência e exfiltram informações roubadas para os servidores do atacante.

As famílias de malware incluem AMOS, Macsync e SHub Stealer. Se algum dos três malware for instalado, eles atacam dados de contas do iCloud e Telegram. Depois procuram documentos privados e fotos com menos de 2 MB. E extraem chaves de carteiras de criptomoedas do Exodus, Ledger e Trezor, além de roubar nomes de utilizador e passwords guardados no Chrome e Firefox.

Após a instalação, o malware exibe uma caixa de diálogo falsa e pede uma password do sistema para instalar uma “ferramenta auxiliar”. Se o utilizador inserir a password, o atacante obtém acesso completo aos ficheiros e configurações do sistema.

Em alguns casos, os investigadores descobriram que os atacantes apagaram aplicações legítimas de carteiras de criptomoedas e as substituíram por versões trojanizadas, desenhadas para monitorizar transações e roubar fundos.

Trezor Suite, Ledger Wallet e Exodus foram algumas das principais aplicações alvo neste ataque.

A campanha do carregador também inclui um botão de paragem. O malware para de executar se detectar um layout de teclado russo.

Investigadores de segurança observaram os atacantes a usar curl, osascript e outras utilidades nativas do macOS para executar cargas úteis diretamente na memória. Esta é uma abordagem sem ficheiros que dificulta a deteção por ferramentas antivírus padrão.

Os atacantes atacam desenvolvedores de criptomoedas

Investigadores de segurança da ANY[.]RUN descobriram uma operação do Grupo Lazarus chamada “Mach-O Man”. Os hackers usaram a mesma técnica ClickFix através de convites falsos para reuniões. Atacaram máquinas de fintech e criptomoedas onde o macOS é comum.

A Cryptopolitan publicou sobre a campanha PromptMink.

Um pacote npm malicioso foi colocado num projeto de negociação de criptomoedas pelo grupo norte-coreano Famous Chollima através de uma alteração gerada por IA. Usando uma abordagem de pacote de duas camadas, o malware obteve acesso a dados de carteiras e segredos do sistema.

Ambas as campanhas mostram que os dados de carteiras de criptomoedas são valiosos. Os atacantes estão a adaptar os seus métodos de entrega, desde blogs falsos até compromissos na cadeia de abastecimento assistidos por IA, para os alcançar.

Se estás a ler isto, já estás à frente. Continua connosco na nossa newsletter.