{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreidgopztjv36rbrnbrbdb3wabxxfuzufo5fkyxb6qybn67xussq2ry",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mnpokdu67qt2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreidfp52bscxi343f3bmkrug23i7lag4ei6xylfb42xb2glwbkvje54"
},
"mimeType": "image/png",
"size": 769886
},
"path": "/seguranca/413680-novo-virus-para-macos-se-disfarca-de-wechat-e-miro-para-roubar-arquivos-e-criptomoedas.htm",
"publishedAt": "2026-06-07T17:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança",
"código malicioso",
"atualização de segurança",
"acessa dados salvos",
"nossa newsletter",
"canal do YouTube."
],
"textContent": "Pesquisadores das empresas SentinelOne e Moonlock identificaram uma campanha maliciosa direcionada a usuários de Mac em que criminosos distribuem uma versão atualizada do malware SHub Stealer, batizada de Reaper, por meio de páginas falsas que imitam aplicativos populares como WeChat e Miro. O ataque usa uma técnica automatizada derivada do ClickFix para induzir a vítima a executar um script malicioso sem perceber.\n\nEsta é a terceira campanha registrada em menos de dois meses que utiliza essa mesma abordagem, o que indica que a técnica está se popularizando entre grupos criminosos que miram o macOS.\n\n## Ferramenta nativa do Mac é usada como porta de entrada\n\nEm versões anteriores do ClickFix, os criminosos instruíam a vítima a copiar e colar um comando malicioso no Terminal, o aplicativo de linha de comando do macOS. A Apple respondeu a isso implementando restrições para esse tipo de operação no sistema.\n\nO código malicioso usa arte ASCII para simular a aparência de um instalador legítimo do WeChat. O script real, escondido abaixo da área visível, é executado quando a vítima clica no botão de play do Script Editor. Imagem: Moonlog.\n\nPara contornar a mudança, o Reaper abandonou o Terminal. As páginas falsas usam um formato de link específico, o applescript://, que abre automaticamente o Script Editor, outro aplicativo nativo do macOS usado para criar automações.\n\nO código malicioso fica escondido dentro desse aplicativo. Os criminosos inserem blocos de caracteres decorativos e espaços em branco em excesso para empurrar o script para fora da área visível da tela. A vítima vê apenas uma aparência inofensiva e, ao clicar no botão de execução, acreditando tratar-se de uma atualização do sistema, o código roda.\n\nO Script Editor é um aplicativo legítimo, presente em todas as versões do macOS. Isso faz com que os usuários raramente suspeitem de algo ao vê-lo abrir.\n\nA documentação oficial da Apple para o Script Editor mostra como executar scripts pelo menu Script. Criminosos exploram o desconhecimento dos usuários sobre essa ferramenta nativa para disfarçar ataques como operações legítimas do sistema. Imagem: Moonlock.\n\n## Ataque imita Apple, Google e Microsoft para parecer legítimo\n\nA campanha usa uma sequência de marcas conhecidas para construir confiança em cada etapa. O primeiro contato acontece em sites falsos hospedados em domínios com erros de digitação que imitam endereços da Microsoft, como mlcrosoft.co.com.\n\nDepois que o script é executado, aparece uma mensagem falsa de atualização de segurança da Apple, pedindo que o usuário informe a senha do sistema. Isso é necessário para que o malware consiga acessar arquivos e recursos protegidos.\n\nApós a instalação, o Reaper se esconde em um diretório falso chamado Google Software Update, imitando um serviço legítimo do Google para não levantar suspeitas.\n\nTrecho do código do Reaper que localiza o aplicativo Exodus no computador da vítima e substitui arquivos internos do programa para desviar criptomoedas em transações futuras. Imagem: Moonlock.\n\n## O que o Reaper rouba\n\nAntes de agir, o malware verifica o idioma configurado no teclado do computador. Se o teclado estiver definido para o russo, o programa se encerra automaticamente. Essa é uma prática comum em malwares desenvolvidos por grupos ligados à Rússia, que costumam excluir o país de suas operações.\n\nCaso contrário, o Reaper começa a coleta de dados. Ele varre as pastas Área de Trabalho e Documentos em busca de arquivos com extensões específicas como .docx, .pdf, .xlsx, .wallet e .keys. Os arquivos encontrados são compactados em pacotes de 70 MB e enviados para um servidor controlado pelos criminosos.\n\nO malware também acessa dados salvos em navegadores como Chrome, Firefox e Edge, incluindo senhas e extensões de gerenciamento de senhas e carteiras de criptomoedas, como 1Password e MetaMask.\n\nFerramentas de segurança com proteção em tempo real conseguem identificar scripts maliciosos antes da execução, inclusive os que são carregados via Script Editor. Imagem: Moonlock.\n\nPara carteiras de criptomoedas instaladas como aplicativos no computador, como Ledger Live, Trezor Suite e Exodus, o Reaper adota uma abordagem diferente. Ele não substitui o aplicativo por uma versão falsa. O que o malware faz é modificar o código interno do aplicativo legítimo para desviar fundos em transações futuras.\n\nPor fim, o Reaper instala uma porta dos fundos permanente no sistema, disfarçada como um serviço do Google, para garantir acesso remoto ao computador mesmo depois que a sessão de ataque terminar.\n\n## Como se proteger\n\nOs pesquisadores recomendam verificar sempre o endereço dos sites antes de baixar qualquer programa. Sites com erros de digitação no domínio, como letras trocadas ou domínios incomuns, são um sinal de alerta.\n\nScript Editor é um aplicativo nativo presente em todas as versões do macOS. Por ser uma ferramenta oficial da Apple, dificilmente levanta suspeitas quando abre durante o que parece ser a instalação de um programa. Imagem: Moonlock.\n\nNunca informe a senha do sistema em janelas pop-up que apareçam durante ou após a instalação de um software. Instalações legítimas não pedem a senha do Mac dessa forma.\n\nSe o Script Editor abrir sozinho no seu computador com um código carregado, não clique no botão de execução sem ter certeza absoluta do que aquele código faz. O uso de um antivírus atualizado também ajuda a identificar scripts maliciosos antes que sejam executados.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Novo vírus para macOS se disfarça de WeChat e Miro para roubar arquivos e criptomoedas"
}