Conforme divulgado pela Cryptopolitan em 11 de maio, a equipe de Pesquisa de Segurança do Microsoft Defender publicou os resultados de uma investigação, encontrando que, desde o fim de 2025, atacantes vinham publicando em plataformas como Medium e Craft guias falsos de solução de problemas para macOS. O objetivo era induzir os usuários a executarem comandos maliciosos no Terminal, permitindo instalar malware para roubar chaves de carteiras cripto, dados do iCloud e senhas salvas no navegador.
Mecanismo do ataque: ClickFix contorna o Gatekeeper do macOS
De acordo com o relatório da equipe de Pesquisa de Segurança do Microsoft Defender, os atacantes empregaram uma técnica de engenharia social chamada ClickFix: publicando guias falsos de solução de problemas para macOS em plataformas como Medium, Craft e Squarespace, eles se faziam passar por orientações para liberar espaço em disco ou corrigir erros do sistema. O conteúdo direcionava os usuários a copiar comandos maliciosos e colá-los no macOS Terminal; após a execução, o malware era baixado e iniciado automaticamente.
Conforme o relatório da Microsoft, esse método contorna o mecanismo de segurança do macOS Gatekeeper, pois o Gatekeeper trata a execução de código com verificação de assinatura e notariação para aplicativos abertos via Finder. Já a forma como os usuários executam comandos diretamente no Terminal não fica sujeita a essas etapas de verificação. Os pesquisadores também identificaram que os atacantes usavam curl, osascript e outras ferramentas nativas do macOS para executar código malicioso diretamente na memória (ataque sem arquivo), tornando mais difícil para ferramentas antivírus padrão detectarem.
Famílias do malware, escopo de roubo e mecanismos especiais
De acordo com o relatório da Microsoft, a atividade de ataque envolve três famílias de malware (AMOS, Macsync e SHub Stealer) e três tipos de instaladores (Loader, Script e Helper). Os dados visados incluem:
Chaves de carteiras cripto: Exodus, Ledger, Trezor
Credenciais de conta: iCloud, Telegram
Senhas salvas do navegador: Chrome, Firefox
Arquivos e fotos pessoais: arquivos locais menores que 2 MB
Após a instalação, o malware exibe caixas de diálogo falsas, solicitando que o usuário insira a senha do sistema para instalar “ferramentas auxiliares”. Se o usuário inserir a senha, os atacantes conseguem acesso completo aos arquivos e às configurações do sistema. O relatório da Microsoft também aponta que, em alguns casos, os atacantes excluem versões legítimas do Trezor Suite, Ledger Wallet e Exodus, substituindo-as por versões com backdoor para monitorar transações e roubar fundos. Além disso, os carregadores do malware incluem um recurso de terminação: ao detectar o layout de teclado em russo, o malware para automaticamente a execução.
Atividades relacionadas ao ataque e medidas de proteção da Apple
Conforme uma investigação de pesquisadores de segurança da ANY.RUN, o Lazarus Group iniciou uma operação de hackers chamada “Mach-O Man”, usando uma técnica semelhante à do ClickFix. O ataque explora convites falsificados para reuniões, mirando empresas de tecnologia financeira e criptomoedas que têm o macOS como sistema operacional principal.
A Cryptopolitan também informou que o grupo de hackers norte-coreano Famous Chollima usa geração de código com IA para inserir um pacote malicioso de npm em projetos de transações cripto. Esse malware adota uma arquitetura de ofuscação em duas camadas, roubando dados de carteiras e informações confidenciais do sistema.
De acordo com o que foi divulgado, a Apple adicionou um mecanismo de proteção no macOS 26.4, capaz de impedir que comandos marcados como potencialmente maliciosos sejam colados no Terminal do macOS.
Perguntas frequentes
A partir de quando começou a campanha de ataque macOS ClickFix revelada pelo Microsoft Defender e em quais plataformas ela foi publicada?
De acordo com a equipe de Pesquisa de Segurança do Microsoft Defender e com a Cryptopolitan, em 11 de maio de 2026, a atividade de ataque começou a ficar ativa no fim de 2025. Os atacantes publicavam guias falsos de solução de problemas para macOS no Medium, Craft e Squarespace, induzindo usuários de Mac a executarem comandos maliciosos no Terminal.
Quais carteiras cripto e tipos de dados são visados por essa campanha?
Conforme o relatório do Microsoft Defender, o malware envolvido (AMOS, Macsync e SHub Stealer) pode roubar chaves de carteiras cripto de Exodus, Ledger e Trezor, dados de contas do iCloud e Telegram, além de nomes de usuário e senhas salvos no Chrome e no Firefox.
Que medidas de proteção a Apple lançou para esse tipo de ataque?
Conforme a reportagem, a Apple adicionou um mecanismo de proteção no macOS 26.4 para impedir que comandos marcados como potencialmente maliciosos sejam colados no Terminal do macOS, reduzindo a taxa de sucesso de ataques de engenharia social do tipo ClickFix.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
