Nosso Endereço

Bigorrilho, Curitiba - PR, Brasil
Fale conosco
Malware 12 de junho de 2025

Stealer mira usuários Apple

Pesquisadores de segurança cibernética estão alertando sobre uma nova campanha maliciosa que utiliza a tática de engenharia social conhecida como ClickFix para induzir usuários de macOS a instalarem o Atomic macOS Stealer (AMOS), um malware especializado no roubo de informações.

ClickFix para induzir usuários Apple a instalar malware – Foto: Freepik

De acordo com a empresa CloudSEK, essa campanha explora domínios falsos (typosquatting) que imitam o site da operadora de telecomunicações norte-americana Spectrum. Os endereços usados incluem URLs como panel-spectrum[.]net e spectrum-ticket[.]net.

Como o Ataque Funciona

Ao acessar esses sites falsos, o usuário se depara com uma suposta verificação de segurança via hCaptcha, sob o pretexto de validar a segurança da conexão. No entanto, ao clicar na opção "Eu sou humano", uma mensagem de erro é exibida, instruindo o usuário a realizar uma "Verificação Alternativa".

Essa etapa copia automaticamente um comando malicioso para a área de transferência do usuário. Dependendo do sistema operacional detectado, são fornecidas instruções para executá-lo: usuários do Windows são guiados a abrir a caixa "Executar" e colar o comando do PowerShell, enquanto no macOS é fornecido um script de shell para ser executado no Terminal.

Esse script solicita a senha do sistema e, em seguida, baixa uma segunda carga útil – o AMOS, projetado para roubar senhas e outras informações sensíveis. Segundo o pesquisador Koushik Pal, o script usa comandos nativos do macOS para contornar os mecanismos de segurança e executar o código malicioso.

Sinais de Pressa na Campanha

Apesar de perigosa, a campanha apresenta falhas e inconsistências. Por exemplo, comandos incompatíveis são entregues em plataformas erradas: usuários Linux recebem instruções para executar scripts do PowerShell, e comandos como "pressione Windows + R" são exibidos mesmo em dispositivos Apple. Isso indica que a infraestrutura do ataque foi montada às pressas.

O código-fonte também contém comentários em russo, o que levanta suspeitas sobre a origem dos atacantes, possivelmente de língua russa.

Tendência Crescente de Campanhas com ClickFix

A tática ClickFix tem ganhado popularidade entre cibercriminosos por ser simples de adaptar e muito eficaz. Ela explora a "fadiga de verificação" dos usuários, acostumados a interações rotineiras com CAPTCHAs e avisos de cookies.

Em campanhas recentes, foi identificado o uso de falsos avisos de cookies, onde o botão "Aceitar" aciona o download de scripts maliciosos. Os usuários, acreditando que estão apenas aceitando cookies, acabam executando esses scripts.

Casos semelhantes foram identificados por empresas como a Darktrace e a Cofense:

  • A Cofense detectou e-mails falsos se passando pela Booking.com que levam a páginas com CAPTCHAs falsos, os quais distribuem malwares como XWorm RAT, PureLogs Stealer e DanaBot.

  • A Darktrace analisou um ataque de abril de 2025 em que o ClickFix foi usado para baixar cargas maliciosas, realizar movimentos laterais na rede da vítima e exfiltrar dados por meio de solicitações HTTP POST.

O artigo "New Atomic macOS Stealer Campaign Exploits ClickFix to Target Apple Users" foi escrito pela Redação no site The Hacker News.

Disponível em: https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html  

Notícias Recentes

Conflito entre OpenAI e Microsoft

30 de junho de 2025

US$ 465 bi Economizados com Zero Trust

26 de junho de 2025

Categorias

Postagens Relacionadas