A campanha de malware ClickFix mira usuários de Mac que procuram ajuda

Atacantes estão postando guias falsos de solução de problemas do macOS no Medium, Craft e Squarespace. O objetivo é fazer os usuários executarem comandos no Terminal que instalam malware direcionado a dados do iCloud, senhas salvas e carteiras de criptomoedas.

A Equipe de Pesquisa de Segurança do Defender da Microsoft publicou as descobertas. A campanha está em andamento desde o final de 2025. Ela se aproveita de usuários de Mac que procuram ajuda com problemas comuns, como liberar espaço no disco ou corrigir erros do sistema.

Em vez de oferecer uma solução legítima, as páginas dizem aos usuários para copiar um comando e colá-lo no Terminal. Esse comando baixa e executa malware.

As postagens enganosas no blog instruem os leitores a copiar um comando malicioso e colá-lo no Terminal. Esse comando faz o download de malware e o executa no computador da vítima.

A técnica é chamada ClickFix. É uma engenharia social que transfere a responsabilidade por lançar a carga útil para a vítima. Como o usuário executa o comando diretamente no Terminal, o Gatekeeper do macOS nunca inspeciona a carga útil.

O Gatekeeper normalmente verifica a assinatura de código e a notificação de aplicativos abertos pelo Finder, mas esse método o contorna completamente.

Atacantes lançaram três campanhas com o mesmo objetivo

A Microsoft identificou três instaladores de campanha:

Um carregador.

Um script.

Um ajudante.

Todos eles coletam dados sensíveis, estabelecem persistência e exfiltram informações roubadas para os servidores do atacante.

As famílias de malware incluem AMOS, Macsync e SHub Stealer. Se qualquer um dos três malwares for instalado, eles atacam dados de contas do iCloud e Telegram. Depois, procuram por documentos privados e fotos menores que 2 MB. E extraem chaves de carteiras de criptomoedas do Exodus, Ledger e Trezor, além de roubar nomes de usuário e senhas salvos no Chrome e Firefox.

Após a instalação, o malware exibe uma caixa de diálogo falsa e pede a senha do sistema para instalar uma “ferramenta auxiliar”. Se o usuário inserir a senha, o atacante obtém acesso total aos arquivos e configurações do sistema.

Em alguns casos, pesquisadores descobriram que os atacantes deletaram aplicativos legítimos de carteiras de criptomoedas e os substituíram por versões trojanizadas, projetadas para monitorar transações e roubar fundos.

Trezor Suite, Ledger Wallet e Exodus foram alguns dos principais aplicativos alvo desse ataque.

A campanha do carregador também inclui um kill switch. O malware para de executar se detectar uma configuração de teclado russa.

Pesquisadores de segurança observaram atacantes usando curl, osascript e outras utilidades nativas do macOS para executar cargas úteis diretamente na memória. Essa é uma abordagem sem arquivo que dificulta a detecção por ferramentas antivírus padrão.

Atacantes atacam desenvolvedores de criptomoedas

Pesquisadores de segurança da ANY[.]RUN descobriram uma operação do Grupo Lazarus chamada “Mach-O Man”. Hackers usaram a mesma técnica ClickFix por meio de convites falsos para reuniões. Eles atacaram máquinas de fintech e criptomoedas onde o macOS é comum.

Cryptopolitan publicou sobre a campanha PromptMink.

Um pacote npm malicioso foi inserido em um projeto de negociação de criptomoedas pelo grupo norte-coreano Famous Chollima, por meio de uma alteração gerada por IA. Usando uma abordagem de pacote em duas camadas, o malware obteve acesso a dados de carteiras e segredos do sistema.

Ambas as campanhas mostram que dados de carteiras de criptomoedas são valiosos. Atacantes estão adaptando seus métodos de entrega, de posts falsos em blogs a compromissos na cadeia de suprimentos assistidos por IA, para alcançá-los.

Se você está lendo isto, você já está à frente. Fique assim com nossa newsletter.