Em 11 de maio, a Cryptopolitan noticiou que a equipa de investigação de segurança da Microsoft Defender divulgou os resultados de uma investigação, tendo detetado que os atacantes, desde o final de 2025, publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium e Craft. O objetivo era induzir os utilizadores a executarem comandos maliciosos na consola (Terminal), levando à instalação de malware para roubar chaves de carteiras de criptomoedas, dados do iCloud e senhas guardadas nos navegadores.
Mecanismo do ataque: ClickFix contorna o Gatekeeper do macOS
De acordo com o relatório da equipa de investigação de segurança da Microsoft Defender, os atacantes recorreram a uma técnica de engenharia social chamada ClickFix: publicaram guias de resolução de problemas de macOS, disfarçados em plataformas como Medium, Craft e Squarespace, como “libertar espaço em disco” ou “corrigir erros do sistema”. As instruções levavam os utilizadores a copiar comandos maliciosos e colá-los no macOS Terminal; após a execução, o malware é descarregado e iniciado automaticamente.
Conforme o relatório da Microsoft, este método contorna o mecanismo de segurança do Gatekeeper no macOS, porque o Gatekeeper verifica assinaturas de código e validações notarizadas para aplicações executadas a partir do Finder, mas o modo como o utilizador executa comandos diretamente no Terminal não está sujeito a este passo de validação. Os investigadores também identificaram que os atacantes usam curl, osascript e outras ferramentas nativas do macOS para executar código malicioso “na memória” (ataque sem ficheiros), o que dificulta a deteção por ferramentas de antivírus convencionais.
Famílias de malware, âmbito do roubo e mecanismos especiais
De acordo com o relatório da Microsoft, esta campanha envolve três famílias de malware (AMOS, Macsync, SHub Stealer) e três tipos de instaladores (Loader, Script, Helper). Os dados visados incluem:
Chaves de carteiras de criptomoedas: Exodus, Ledger, Trezor
Credenciais de contas: iCloud, Telegram
Senhas guardadas em navegadores: Chrome, Firefox
Ficheiros e fotografias privadas: ficheiros locais com menos de 2 MB
Após a instalação, o malware apresenta falsas caixas de diálogo, pedindo ao utilizador que introduza a palavra-passe do sistema para instalar um “utilitário auxiliar”. Se o utilizador inserir a palavra-passe, o atacante obtém acesso completo aos ficheiros e às definições do sistema. O relatório da Microsoft salienta ainda que, em alguns casos, os atacantes eliminam aplicações legítimas como Trezor Suite, Ledger Wallet e Exodus e substituem-nas por versões com trojan, para monitorizar transações e roubar fundos. Além disso, os carregadores associados ao malware incluem um mecanismo de terminação: se detetar um layout de teclado em russo, o malware interrompe automaticamente a execução.
Atividades relacionadas e medidas de proteção da Apple
De acordo com a investigação de especialistas de segurança da ANY.RUN, o Lazarus Group lançou uma ação de pirataria denominada “Mach-O Man”, recorrendo a técnicas semelhantes às do ClickFix, através de convites para reuniões falsificados, com o objetivo de atingir empresas de tecnologia financeira e criptomoedas que têm o macOS como sistema operativo principal.
A Cryptopolitan também reportou que a organização norte-coreana de hackers Famous Chollima usa código gerado por IA para inserir pacotes maliciosos npm em projetos de transações de criptomoedas. O malware utiliza uma arquitetura de ofuscação em dupla camada para roubar dados das carteiras e informações confidenciais do sistema.
De acordo com a notícia, a Apple adicionou uma funcionalidade de proteção na versão macOS 26.4 que impede que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS.
Perguntas frequentes
A atividade de ataque a macOS ClickFix revelada pela Microsoft Defender começou quando e em que plataformas foi publicada?
De acordo com a equipa de investigação de segurança da Microsoft Defender e com a notícia da Cryptopolitan de 11 de maio de 2026, a campanha começou a ganhar tração no final de 2025. Os atacantes publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium, Craft e Squarespace, com o objetivo de induzir utilizadores de Mac a executarem comandos maliciosos no Terminal.
Esta campanha de ataque atinge quais carteiras de criptomoedas e tipos de dados?
De acordo com o relatório da Microsoft, o malware envolvido (AMOS, Macsync, SHub Stealer) pode roubar chaves das carteiras de Exodus, Ledger e Trezor, dados das contas iCloud e Telegram, bem como nomes de utilizador e palavras-passe guardadas no Chrome e no Firefox.
Que medidas de proteção a Apple implementou para este tipo de ataque?
De acordo com a notícia, a Apple adicionou um mecanismo de proteção na versão macOS 26.4, impedindo que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS, para reduzir as probabilidades de sucesso de ataques de engenharia social do tipo ClickFix.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O programador de Wagyu nega um rug pull em XMR1 e esclarece levantamentos via Terminal
Segundo a Foresight News, o developer do Wagyu, PerpetualCow, esclareceu que os detentores do token XMR1 podem levantar fundos através do Terminal em vez da UI de cross-chain legada, negando alegações recentes de Rug Pull. O developer afirmou que nenhum utilizador reportou falhas no levantamento, e que a interface de swap já indica o método correcto de levantamento. Membros da comunidade tinham levantado anteriormente preocupações de que o Wagyu se parecia com um Rug Pull, com depósitos de XMR p
GateNews1h atrás
Ataque à implementação Renegade V1 na Arbitrum, perde 209 mil dólares; hacker White Hat devolve 190 mil dólares
De acordo com a declaração oficial da Renegade no X, a implementação legada V1 do Arbitrum do protocolo foi atacada nas primeiras horas desta manhã (11 de maio), resultando em perdas de aproximadamente 209.000 dólares. Um hacker de chapéu branco devolveu aproximadamente 190.000 dólares, e a equipa confirmou que todos os utilizadores afetados receberão uma compensação integral. A equipa confirmou que a vulnerabilidade existia apenas na implementação V1 do Arbitrum; as implementações V1 Base, V2 A
GateNews2h atrás
USDT0 anuncia mecanismo de validação 3/3 e programa de Bug Bounty $6M na sequência do incidente Kelp
De acordo com a Foresight News, o USDT0, protocolo de interoperabilidade de ativos da Tether, anunciou detalhes da arquitectura de segurança após o incidente Kelp. O protocolo utiliza uma Decentralized Verifier Network (DVN) proprietária, com direitos de veto de mensagens, e exige três validadores independentes com base em diferentes bases de código para atingir consenso 3/3 antes de as mensagens entre cadeias serem processadas. Os nós de validadores actuais incluem a DVN proprietária do USDT0,
GateNews3h atrás
A Microsoft Descobre uma Campanha de Phishing no macOS que Visa Carteiras Exodus, Ledger e Trezor Desde o Final de 2025
De acordo com a equipa de investigação de segurança da Microsoft, desde finais de 2025, os atacantes têm vindo a distribuir guias falsos de resolução de problemas do macOS em plataformas incluindo Medium, Craft e Squarespace, com o objetivo de levar os utilizadores a executar comandos maliciosos no terminal. Os comandos descarregam e executam malware concebido para roubar as chaves das carteiras de criptomoedas da Exodus, Ledger e Trezor, juntamente com dados do iCloud e palavras-passe guardadas
GateNews3h atrás
LayerZero emite um pedido público de desculpa pela resposta ao exploit da Kelp DAO, reconhece falha de um único verificador no DVN
De acordo com a LayerZero, o protocolo emitiu uma desculpa pública na sexta-feira pela forma como tratou o exploit de 18 de abril que drenou 292 milhões de dólares em rsETH da ponte cross-chain do Kelp DAO, assinalando uma mudança significativa no tom face ao seu post-mortem anterior. A LayerZero reconheceu que a sua Decentralized Verifier Network (DVN) não deveria ter servido como único verificador para transacções de elevado valor, afirmando: "Cometemos um erro ao permitir que a nossa DVN atua
GateNews4h atrás
LayerZero emite pedido público de desculpas pelo exploit da Kelp DAO, reconhece que a configuração de um único verificador foi um erro
De acordo com a publicação oficial do blog da LayerZero de sexta-feira, o protocolo emitiu um pedido público de desculpas pela forma como lidou com o exploit de 18 de abril que drenou 292 milhões de dólares em rsETH da ponte cross-chain do Kelp DAO. A LayerZero admitiu que cometeu um erro ao permitir que a sua Decentralized Verifier Network servisse como o único verificador para transacções de alto valor, revertendo a sua posição anterior, que culpava as escolhas de configuração do Kelp DAO. Em
GateNews10h atrás
