A campanha de malware ClickFix tem como alvo usuários de Mac que buscam ajuda

Criminosos estão publicando guias falsos de solução de problemas do macOS no Medium, Craft e Squarespace. O objetivo é induzir os usuários a executar comandos no Terminal que instalam malware direcionado a dados do iCloud, senhas salvas e carteiras de criptomoedas.

A equipe de pesquisa de segurança do Microsoft Defender publicou as descobertas. A campanha está em andamento desde o final de 2025 e visa usuários de Mac que buscam ajuda com problemas comuns, como liberar espaço em disco ou corrigir erros do sistema.

Em vez de oferecer uma solução legítima, as páginas instruem os usuários a copiar um comando e colá-lo no Terminal. Esse comando baixa e executa um malware.

As postagens enganosas do blog instruem os leitores a copiar um comando malicioso e colá-lo no Terminal. Esse comando baixa um malware e o executa no computador da vítima.

A técnica chama-se ClickFix. Trata-se de engenharia social que transfere a responsabilidade pela execução do malware para a vítima. Como o usuário executa o comando diretamente no Terminal, o Gatekeeper do macOS nunca inspeciona o malware.

Normalmente, o Gatekeeper verifica a assinatura de código e a autenticação em pacotes de aplicativos abertos pelo Finder, mas este método contorna isso completamente.

Os atacantes lançaram três campanhas com o mesmo objetivo

A Microsoft identificou três instaladores de campanha:

1. Uma carregadeira.
2. Um roteiro.
3. Um ajudante.

Os três métodos coletam dados sensíveis, estabelecem persistência e exfiltram informações roubadas para os servidores do atacante.

As famílias de malware incluem AMOS, Macsync e SHub Stealer. Se alguma dessas três famílias estiver instalada, ela tenta obter dados de contas do iCloud e do Telegram. Em seguida, procura por documentos e fotos privados com menos de 2 MB. Além disso,tracchaves de carteiras de criptomoedas como Exodus, Ledger e Trezor, e rouba nomes de usuário e senhas salvas no Chrome e no Firefox.

Após a instalação, o malware exibe uma caixa de diálogo falsa e solicita a senha do sistema para instalar uma "ferramenta auxiliar". Se o usuário inserir a senha, o invasor obtém acesso total aos arquivos e configurações do sistema.

Em alguns casos, os pesquisadores descobriram que os invasores excluíram aplicativos legítimos de carteiras de criptomoedas e os substituíram por versões infectadas por cavalos de Troia, projetadas para monitorar transações e roubar fundos.

Trezor Suite, Ledger Wallet e Exodus foram alguns dos principais aplicativos visados neste ataque.

A campanha de carregamento também inclui um mecanismo de desativação. O malware para de ser executado se detectar um layout de teclado russo.

Pesquisadores de segurança observaram invasores usando curl, osascript e outros utilitários nativos do macOS para executar payloads diretamente na memória. Essa abordagem sem arquivos dificulta a detecção por ferramentas antivírus padrão.

Ataques visam desenvolvedores de criptomoedas

Pesquisadores de segurança da ANY[.]RUN descobriram uma operação do Lazarus Group chamada “Mach-O Man”. Os hackers usaram a mesma técnica do ClickFix por meio de convites falsos para reuniões. Eles atacaram servidores de fintech e criptomoedas, onde o macOS é um sistema operacional comum.

Cryptopolitan publicou uma matéria sobre a campanha PromptMink.

Um pacote npm malicioso foi inserido em um projeto de negociação de criptomoedas pelo grupo norte-coreano Famous Chollima por meio de uma alteração gerada por inteligência artificial. Utilizando uma abordagem de pacote de duas camadas, o malware obteve acesso a dados de carteira e segredos do sistema.

Ambas as campanhas demonstram o valor dos dados de carteiras de criptomoedas. Os atacantes estão adaptando seus métodos de distribuição, desde postagens falsas em blogs até comprometimentos da cadeia de suprimentos com auxílio de inteligência artificial, para acessá-los.

Ainda deixa o banco ficar com a melhor parte? Assista ao nosso vídeo gratuito sobre como ser seu próprio banco.