Os investigadores da Palo Alto Networks Unit 42 descobriram uma nova campanha maliciosa dirigida a computadores Mac que usa a técnica ClickFix. Entras numa página falsa que imita uma verificação CAPTCHA e pedem-te para abrir o Terminal do macOS, colar um comando e “provar” que não és um robô.
O comando não tem nada a ver com verificações de segurança. Em vez disso, descarrega um ficheiro de imagem de disco DMG malicioso a partir de um servidor controlado por hackers, monta-o silenciosamente com a ferramenta nativa do macOS hdiutil, sem mostrar nada no Finder, e procura automaticamente uma aplicação dentro do ficheiro para a executar.
Todo o processo decorre sem que o utilizador veja qualquer janela ou aviso adicional.
O que o malware rouba depois de instalado
Depois de o executares, o malware Atomic macOS Stealer começa a recolher os teus dados sensíveis. Procura credenciais guardadas em navegadores como Chrome, Edge, Brave, Opera, Arc, Vivaldi e várias versões do Firefox, incluindo o Tor Browser.
A maior preocupação dos investigadores está nas criptomoedas. O malware procura dados em carteiras digitais como Exodus, Electrum, Atomic Wallet, Bitcoin Core e Binance Wallet, entre outras, e consegue substituir instalações legítimas das apps Ledger Live e Trezor Suite por versões falsificadas, o que aumenta significativamente o risco de roubo.
Também recolhe dados do Telegram e Discord, notas do Apple Notes, cookies do Safari, documentos e credenciais guardadas na Apple Keychain. Depois, comprime tudo e envia os dados para servidores controlados por hackers.
Não é um caso isolado
Esta campanha junta-se a uma tendência que os especialistas em cibersegurança já vinham a sinalizar há vários meses sobre ameaças que conseguem passar despercebidas aos antivírus tradicionais no macOS. O mito de que o Mac é imune a malware deixou de corresponder à realidade há vários anos, e os ataques recentes mostram que os cibercriminosos investem cada vez mais nesta plataforma.
A técnica ClickFix não afeta apenas o macOS. No Windows, já foram identificadas várias versões deste ataque, com malware cada vez mais difícil de detetar. A Malwarebytes alertou ainda para uma campanha que comprometeu mais de 700 sites, onde estas falsas verificações CAPTCHA eram injetadas em páginas legítimas.
Como te proteges
Nenhum serviço legítimo pede que abras o Terminal e copies comandos para validar um CAPTCHA, corrigir um erro do navegador ou concluir uma verificação de segurança. Se vires uma instrução deste género, fecha imediatamente a página.
Se já executaste um comando destes recentemente, age de imediato. Para de usar o dispositivo para atividades sensíveis como acesso a contas bancárias ou email. Muda as palavras-passe a partir de outro dispositivo limpo, começando pelo email, banco e Apple ID.
Verifica também se existem ficheiros suspeitos nas pastas /tmp e ~/Library/LaunchAgents, e corre uma verificação completa com um antivírus atualizado para remover qualquer vestígio do malware.
