Conforme divulgado pela Cryptopolitan em 11 de maio, a equipe de Pesquisa de Segurança do Microsoft Defender publicou os resultados de uma investigação, encontrando que, desde o fim de 2025, atacantes vinham publicando em plataformas como Medium e Craft guias falsos de solução de problemas para macOS. O objetivo era induzir os usuários a executarem comandos maliciosos no Terminal, permitindo instalar malware para roubar chaves de carteiras cripto, dados do iCloud e senhas salvas no navegador.
Mecanismo do ataque: ClickFix contorna o Gatekeeper do macOS
De acordo com o relatório da equipe de Pesquisa de Segurança do Microsoft Defender, os atacantes empregaram uma técnica de engenharia social chamada ClickFix: publicando guias falsos de solução de problemas para macOS em plataformas como Medium, Craft e Squarespace, eles se faziam passar por orientações para liberar espaço em disco ou corrigir erros do sistema. O conteúdo direcionava os usuários a copiar comandos maliciosos e colá-los no macOS Terminal; após a execução, o malware era baixado e iniciado automaticamente.
Conforme o relatório da Microsoft, esse método contorna o mecanismo de segurança do macOS Gatekeeper, pois o Gatekeeper trata a execução de código com verificação de assinatura e notariação para aplicativos abertos via Finder. Já a forma como os usuários executam comandos diretamente no Terminal não fica sujeita a essas etapas de verificação. Os pesquisadores também identificaram que os atacantes usavam curl, osascript e outras ferramentas nativas do macOS para executar código malicioso diretamente na memória (ataque sem arquivo), tornando mais difícil para ferramentas antivírus padrão detectarem.
Famílias do malware, escopo de roubo e mecanismos especiais
De acordo com o relatório da Microsoft, a atividade de ataque envolve três famílias de malware (AMOS, Macsync e SHub Stealer) e três tipos de instaladores (Loader, Script e Helper). Os dados visados incluem:
Chaves de carteiras cripto: Exodus, Ledger, Trezor
Credenciais de conta: iCloud, Telegram
Senhas salvas do navegador: Chrome, Firefox
Arquivos e fotos pessoais: arquivos locais menores que 2 MB
Após a instalação, o malware exibe caixas de diálogo falsas, solicitando que o usuário insira a senha do sistema para instalar “ferramentas auxiliares”. Se o usuário inserir a senha, os atacantes conseguem acesso completo aos arquivos e às configurações do sistema. O relatório da Microsoft também aponta que, em alguns casos, os atacantes excluem versões legítimas do Trezor Suite, Ledger Wallet e Exodus, substituindo-as por versões com backdoor para monitorar transações e roubar fundos. Além disso, os carregadores do malware incluem um recurso de terminação: ao detectar o layout de teclado em russo, o malware para automaticamente a execução.
Atividades relacionadas ao ataque e medidas de proteção da Apple
Conforme uma investigação de pesquisadores de segurança da ANY.RUN, o Lazarus Group iniciou uma operação de hackers chamada “Mach-O Man”, usando uma técnica semelhante à do ClickFix. O ataque explora convites falsificados para reuniões, mirando empresas de tecnologia financeira e criptomoedas que têm o macOS como sistema operacional principal.
A Cryptopolitan também informou que o grupo de hackers norte-coreano Famous Chollima usa geração de código com IA para inserir um pacote malicioso de npm em projetos de transações cripto. Esse malware adota uma arquitetura de ofuscação em duas camadas, roubando dados de carteiras e informações confidenciais do sistema.
De acordo com o que foi divulgado, a Apple adicionou um mecanismo de proteção no macOS 26.4, capaz de impedir que comandos marcados como potencialmente maliciosos sejam colados no Terminal do macOS.
Perguntas frequentes
A partir de quando começou a campanha de ataque macOS ClickFix revelada pelo Microsoft Defender e em quais plataformas ela foi publicada?
De acordo com a equipe de Pesquisa de Segurança do Microsoft Defender e com a Cryptopolitan, em 11 de maio de 2026, a atividade de ataque começou a ficar ativa no fim de 2025. Os atacantes publicavam guias falsos de solução de problemas para macOS no Medium, Craft e Squarespace, induzindo usuários de Mac a executarem comandos maliciosos no Terminal.
Quais carteiras cripto e tipos de dados são visados por essa campanha?
Conforme o relatório do Microsoft Defender, o malware envolvido (AMOS, Macsync e SHub Stealer) pode roubar chaves de carteiras cripto de Exodus, Ledger e Trezor, dados de contas do iCloud e Telegram, além de nomes de usuário e senhas salvos no Chrome e no Firefox.
Que medidas de proteção a Apple lançou para esse tipo de ataque?
Conforme a reportagem, a Apple adicionou um mecanismo de proteção no macOS 26.4 para impedir que comandos marcados como potencialmente maliciosos sejam colados no Terminal do macOS, reduzindo a taxa de sucesso de ataques de engenharia social do tipo ClickFix.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
O FSI da Coreia do Sul lança uma ferramenta de verificação de segurança para contratos inteligentes, avançando três projetos
De acordo com a Edaily, o Instituto de Segurança Financeira da Coreia do Sul (FSI) anunciou hoje o desenvolvimento de uma ferramenta dedicada de verificação de segurança de contratos inteligentes e está avançando três grandes iniciativas, incluindo a construção de um sistema de verificação de contratos inteligentes e o cultivo de talentos em ativos digitais. A ferramenta de verificação detectará automaticamente vulnerabilidades importantes em contratos inteligentes usados para títulos de tokens,
GateNews45m atrás
Desenvolvedor da Wagyu nega golpe do tipo rug pull com XMR1 e esclarece saques via terminal
De acordo com a Foresight News, o desenvolvedor Wagyu PerpetualCow esclareceu que detentores do token XMR1 podem sacar fundos via Terminal em vez da interface cross-chain legada, negando alegações recentes de Rug Pull. O desenvolvedor afirmou que nenhum usuário relatou falhas ao sacar, e que a interface de swap já especifica o método correto de saque. Membros da comunidade haviam levantado anteriormente preocupações de que Wagyu se parecia com um Rug Pull, com depósitos de XMR potencialmente tra
GateNews2h atrás
Implantação V1 do Renegade no Arbitrum é atacada, perde US$ 209 mil; hacker de chapéu branco devolve US$ 190 mil
De acordo com a declaração oficial da Renegade no X, a implantação legada V1 no Arbitrum do protocolo foi atacada no início desta manhã (11 de maio), resultando em perdas de aproximadamente US$ 209 mil. Um hacker de chapéu branco devolveu aproximadamente US$ 190 mil, e a equipe confirmou que todos os usuários afetados receberão compensação integral. A equipe confirmou que a vulnerabilidade existia apenas na implantação V1 no Arbitrum; as implantações V1 Base, V2 Arbitrum e V2 Base permanecem seg
GateNews3h atrás
USDT0 Anuncia Mecanismo de Validação 3/3 e Programa de Bug Bounty $6M Após Incidente com Kelp
De acordo com a Foresight News, o USDT0, protocolo de interoperabilidade de ativos da Tether, anunciou detalhes da arquitetura de segurança após o incidente Kelp. O protocolo usa uma Decentralized Verifier Network (DVN) proprietária, com direitos de veto de mensagens, e exige três validadores independentes baseados em diferentes bases de código para alcançar consenso 3/3 antes que mensagens entre cadeias sejam finalizadas. Os nós de validadores atuais incluem a DVN proprietária do USDT0, a Layer
GateNews4h atrás
A Microsoft Descobre uma Campanha de Phishing no macOS Mirando as Carteiras Exodus, Ledger e Trezor Desde o Final de 2025
De acordo com a equipe de pesquisa de segurança da Microsoft, desde o fim de 2025, atacantes vêm distribuindo guias falsos de solução de problemas do macOS em plataformas como Medium, Craft e Squarespace para enganar os usuários a executarem comandos maliciosos no terminal. Os comandos baixam e executam malware projetado para roubar chaves de carteiras de criptomoedas do Exodus, Ledger e Trezor, além de dados do iCloud e senhas salvas do Chrome e do Firefox. As famílias de malware envolvidas inc
GateNews4h atrás
LayerZero emite pedido público de desculpas pela resposta ao exploit da Kelp DAO, admite falha de verificador único no DVN
De acordo com a LayerZero, o protocolo emitiu uma retratação pública na sexta-feira por sua gestão do exploit de 18 de abril, que drenou US$ 292 milhões em rsETH da ponte de cross-chain da Kelp DAO, marcando uma mudança significativa de tom em relação ao seu post-mortem anterior. A LayerZero reconheceu que sua Rede de Verificadores Descentralizados (DVN) não deveria ter servido como o único verificador para transações de alto valor, afirmando: "Cometemos um erro ao permitir que nosso DVN atue co
GateNews4h atrás
