Pesquisadores de segurança cibernética estão alertando sobre uma nova campanha maliciosa que utiliza a tática de engenharia social conhecida como ClickFix para induzir usuários de macOS a instalarem o Atomic macOS Stealer (AMOS), um malware especializado no roubo de informações.
ClickFix para induzir usuários Apple a instalar malware – Foto: Freepik
De acordo com a empresa CloudSEK, essa campanha explora domínios falsos (typosquatting) que imitam o site da operadora de telecomunicações norte-americana Spectrum. Os endereços usados incluem URLs como panel-spectrum[.]net e spectrum-ticket[.]net.
Como o Ataque Funciona
Ao acessar esses sites falsos, o usuário se depara com uma suposta verificação de segurança via hCaptcha, sob o pretexto de validar a segurança da conexão. No entanto, ao clicar na opção "Eu sou humano", uma mensagem de erro é exibida, instruindo o usuário a realizar uma "Verificação Alternativa".
Essa etapa copia automaticamente um comando malicioso para a área de transferência do usuário. Dependendo do sistema operacional detectado, são fornecidas instruções para executá-lo: usuários do Windows são guiados a abrir a caixa "Executar" e colar o comando do PowerShell, enquanto no macOS é fornecido um script de shell para ser executado no Terminal.
Esse script solicita a senha do sistema e, em seguida, baixa uma segunda carga útil – o AMOS, projetado para roubar senhas e outras informações sensíveis. Segundo o pesquisador Koushik Pal, o script usa comandos nativos do macOS para contornar os mecanismos de segurança e executar o código malicioso.
Sinais de Pressa na Campanha
Apesar de perigosa, a campanha apresenta falhas e inconsistências. Por exemplo, comandos incompatíveis são entregues em plataformas erradas: usuários Linux recebem instruções para executar scripts do PowerShell, e comandos como "pressione Windows + R" são exibidos mesmo em dispositivos Apple. Isso indica que a infraestrutura do ataque foi montada às pressas.
O código-fonte também contém comentários em russo, o que levanta suspeitas sobre a origem dos atacantes, possivelmente de língua russa.
Tendência Crescente de Campanhas com ClickFix
A tática ClickFix tem ganhado popularidade entre cibercriminosos por ser simples de adaptar e muito eficaz. Ela explora a "fadiga de verificação" dos usuários, acostumados a interações rotineiras com CAPTCHAs e avisos de cookies.
Em campanhas recentes, foi identificado o uso de falsos avisos de cookies, onde o botão "Aceitar" aciona o download de scripts maliciosos. Os usuários, acreditando que estão apenas aceitando cookies, acabam executando esses scripts.
Casos semelhantes foram identificados por empresas como a Darktrace e a Cofense:
-
A Cofense detectou e-mails falsos se passando pela Booking.com que levam a páginas com CAPTCHAs falsos, os quais distribuem malwares como XWorm RAT, PureLogs Stealer e DanaBot.
-
A Darktrace analisou um ataque de abril de 2025 em que o ClickFix foi usado para baixar cargas maliciosas, realizar movimentos laterais na rede da vítima e exfiltrar dados por meio de solicitações HTTP POST.
O artigo "New Atomic macOS Stealer Campaign Exploits ClickFix to Target Apple Users" foi escrito pela Redação no site The Hacker News.
Disponível em: https://thehackernews.com/2025/06/new-atomic-macos-stealer-campaign.html
