Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiet2zqlj57kmaer3nefm4daqtc6vacfz5godtdstz7sh2kjgns4li",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mh6xypipe7q2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreidztflm2aburfmx7nkkaothg35c45meivhn4lqpau34g7c3j4m7eq"
    },
    "mimeType": "image/png",
    "size": 927746
  },
  "path": "/seguranca/411633-operacoes-criminosas-manipulam-usuarios-para-instalar-virus-em-macs.htm",
  "publishedAt": "2026-03-16T17:10:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Pesquisadores identificaram **três campanhas distintas que usaram uma técnica chamada ClickFix para enganar usuários de macOS**. Entre novembro de 2025 e fevereiro de 2026, o objetivo dos criminosos era fazer as vítimas instalarem **um programa malicioso chamado MacSync**.\n\nA técnica não explora falhas no sistema, mas **convence a própria vítima a executar o ataque**. Mais de 29 mil interações foram registradas apenas na segunda campanha.\n\n## O que é o ClickFix\n\nO ClickFix é uma**técnica de engenharia social** , nome dado a métodos que manipulam psicologicamente uma pessoa. O objetivo é desestabilizar vítimas, geralmente por meio de urgência ou medo, **para que ela tome uma ação prejudicial por conta própria**.\n\nNo caso do **ClickFix** , **a vítima é induzida a abrir o terminal do computador e executar um comando malicioso**. O terminal é uma interface de texto que permite enviar instruções diretamente ao sistema operacional. Quando a vítima executa o comando, ela mesma instala o malware.\n\nEsse contexto torna o ClickFix especialmente difícil de conter. Tecnologias modernas de segurança, como o padrão FIDO2, **protegem contra o roubo de senhas de login**. Mas **elas não têm como impedir que uma pessoa execute um comando no próprio computador**.\n\nO malware instalado nessas campanhas se chama MacSync. Ele é classificado como infostealer, que coleta silenciosamente informações sensíveis do dispositivo da vítima e as envia para os atacantes.\n\n## Novembro de 2025: a isca do ChatGPT\n\nA primeira campanha usou o nome do ChatGPT como isca. Quando a vítima buscava por \"chatgpt atlas\" no Google, o**primeiro resultado exibido era um anúncio pago pelos próprios atacantes** – ele aparecia acima do site legítimo.\n\nO link levava a um site falso hospedado no [sites.google.com], o que dá uma aparência de confiabilidade para a página. Ao **clicar no botão de download, a vítima não recebia um arquivo, mas instruções para abrir o terminal e executar um comando**.\n\nO c**omando estava ofuscado** , efeito parte de uma técnica que embaralha o código para esconder o que ele realmente faz. Quando decodificado, **ele baixava e executava um script Bash**. Esse script **pedia a senha da vítima e instalava o MacSync com as permissões do usuário**.\n\n## Dezembro de 2025: a conversa que virou armadilha\n\nA segunda campanha manteve os anúncios pagos no Google, mas mudou o destino do clique. Em vez de um site falso, **a vítima era levada a uma conversa real hospedada no próprio site do ChatGPT**. A conversa parecia um guia útil, com dicas para limpar o Mac ou instalar ferramentas populares.\n\nDentro da conversa havia links. **Eles levavam a páginas falsas com visual inspirado no GitHub, uma plataforma legítima muito usada por desenvolvedores**. A interface imitava um processo de instalação e trazia mensagens como \"para usuários experientes\". Essa frase é uma técnica de manipulação: “ela incentiva a vítima a prosseguir para não parecer incapaz”.\n\nAo executar o comando apresentado nessa interface, a vítima desativava duas camadas de proteção nativa do macOS. O Gatekeeper verifica se um aplicativo vem de um desenvolvedor confiável antes de permitir sua execução. O XProtect é o antivírus embutido da Apple. Como **o comando era executado manualmente no terminal, o sistema entendia que a ação era deliberada e autorizava tudo**.\n\nOs pesquisadores descobriram que as páginas maliciosas enviavam dados para um servidor dos atacantes em tempo real. **Cada vez que a vítima clicava em \"copiar\" o comando, o sistema registrava o endereço IP dela, sua localização e o horário da visita**.\n\nEssas informações eram enviadas automaticamente para um bot no Telegram controlado pelos criminosos. Telegram é um aplicativo de mensagens. O bot funcionava como um painel de monitoramento da campanha.\n\nAo consultar esses registros, **os pesquisadores conseguiram dimensionar o ataque**. Apenas entre os domínios rastreados, foram contabilizadas mais de 29 mil interações até 22 de dezembro de 2025. Strings de código encontradas nos servidores sugeriam que os operadores pertenciam a um ecossistema de língua russa.\n\n## Fevereiro de 2026: ataque aprende com os anteriores\n\nA campanha mais recente é a mais sofisticada das três. O **ponto de entrada continuou sendo o ClickFix** , desta vez com uma página imitando o site oficial da Apple. Mas tudo que acontece depois do clique mudou.\n\nApós executar o comando,**o computador da vítima baixava um loader**. Um loader é um programa inicial cujo **único propósito é preparar o terreno para o malware principal**. Esse loader chegava codificado e comprimido, o que dificultava a análise por ferramentas de segurança.\n\nUma novidade dessa versão era **o uso de chaves de API para autenticar cada vítima no servidor dos atacantes**. Uma chave de API funciona como uma senha única que identifica quem está fazendo uma requisição.\n\nSem ela, o servidor não entregava o malware. Isso impedia que pesquisadores baixassem o conteúdo em massa para analisá-lo.\n\nO malware operava completamente em silêncio. Toda a sua atividade era redirecionada para um destino especial do sistema que descarta qualquer informação, tornando a execução invisível para a vítima.\n\nO **payload** , que é a parte do malware responsável pela coleta de dados, **funcionava inteiramente na memória do computador –** sem gravar arquivos no disco. A maioria dos antivírus monitora arquivos gravados em disco. Ao operar só na memória, o malware reduzia as chances de ser detectado.\n\nA coleta de dados era extensa. **O infostealer extraía senhas salvas, cookies e histórico de navegadores como Chrome e Firefox**. Tentava obter a senha do macOS por múltiplos métodos, incluindo uma janela falsa imitando o sistema operacional.\n\nCopiava arquivos sensíveis das pastas de desktop e documentos. Extraía chaves SSH, que são usadas para acesso a servidores remotos, e credenciais de serviços de computação em nuvem.\n\n**O ataque mais sofisticado era direcionado ao Ledger Live** , um aplicativo para gerenciar carteiras de criptomoedas. O malware localizava o aplicativo no computador da vítima e substituía seu código interno por uma versão maliciosa.\n\nEssa versão continha lógica para capturar a seed phrase da carteira. Uma seed phrase é uma sequência de palavras que funciona como a chave mestra de uma carteira de criptomoedas.\n\n**Quem a possui pode recriar a carteira em qualquer dispositivo e transferir todos os fundos imediatamente**. Para não levantar suspeitas, o aplicativo continuava funcionando normalmente após a substituição.\n\n## O que mudou no cenário\n\nDurante anos **prevaleceu a ideia de que o macOS era inerentemente mais seguro que o Windows**. O sistema da Apple possui proteções nativas robustas que forçavam os atacantes a adotar técnicas mais complexas – mas esse cenário mudou.\n\nInfostealers afetam usuários de macOS de forma rotineira hoje. Eles representam uma fração significativa de todas as detecções de malware nessa plataforma. E as três campanhas descritas aqui mostram que os atacantes estão aprendendo ativamente com cada rodada.\n\nAcompanhe o **TecMundo** nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Operações criminosas manipulam usuários para instalar vírus em Macs"
}