{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiej5zlrlcqwswte5prwhcsqjvlc4o2qtne6mvks7knqpabbticdb4",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3moltxdwwbhr2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreifbkcrflr7jsnwbu7wvaamz6wptzrs6utzslwhsl5gxr3eyzbvn3e"
    },
    "mimeType": "image/png",
    "size": 965570
  },
  "path": "/seguranca/413977-virus-para-mac-rouba-senhas-e-arquivos-usando-ferramentas-do-proprio-sistema.htm",
  "publishedAt": "2026-06-18T20:15:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança",
    "nossa newsletter",
    "canal do YouTube."
  ],
  "textContent": "Um malware chamado Amos Stealer está sendo usado por cibercriminosos para roubar dados de computadores Mac. A empresa de segurança CyberProof identificou uma campanha ativa em que o programa malicioso é distribuído por meio de downloads falsos, sites fraudulentos e técnicas de engenharia social. O objetivo é financeiro: comprometer ambientes corporativos e extrair credenciais de acesso.\n\nO que chama atenção nessa campanha é a forma como o malware opera. Em vez de instalar programas suspeitos, ele abusa de ferramentas legítimas que já existem no macOS para agir sem levantar suspeitas.\n\n## O ataque começa com um comando discreto\n\nA infecção se inicia quando o sistema executa um comando usando o “curl”, um utilitário nativo do Mac usado para transferir arquivos pela internet. O comando baixa um script malicioso de um servidor controlado pelos atacantes.\n\nScript do Amos Stealer exibe comandos usados para copiar arquivos sensíveis do usuário, incluindo dados do Chrome, chaves SSH e o banco de dados do Keychain, antes de compactá-los para exfiltração. Imagem: CyberProof.\n\nPara passar despercebido, o comando usa flags específicas que suprimem alertas de erro, ocultam o progresso do download e garantem que tudo aconteça em silêncio. Basicamente, o usuário não vê nada na tela enquanto o arquivo malicioso é baixado.\n\nApós o download, o script aciona automaticamente o AppleScript, uma linguagem de automação nativa do Mac, para iniciar a coleta de dados.\n\n## O que o malware rouba\n\nO Amos Stealer varre o sistema em busca de informações de alto valor. Nos navegadores Google Chrome e Microsoft Edge, ele coleta senhas salvas, cookies de sessão e dados de preenchimento automático de formulários.\n\nTrecho do código do Amos Stealer mostra a lógica de envio dos dados em partes de 10 MB, com sistema de novas tentativas em caso de falha na transmissão ao servidor de comando e controle. Imagem: CyberProof.\n\nAlém disso, o malware copia o arquivo de banco de dados do Keychain, que é o gerenciador de senhas integrado ao macOS, chamado “login[.]keychain-db”. Isso permite que os atacantes acessem credenciais corporativas e tokens de autenticação armazenados no sistema.\n\nO malware também vasculha os diretórios do usuário em busca de arquivos sensíveis de desenvolvimento, como .ssh, .kube, .zshrc e .gitconfig. Esses arquivos costumam conter chaves de acesso a servidores, repositórios e ambientes de nuvem.\n\n## Como os dados são enviados aos criminosos\n\nPara preparar o envio, o malware usa outra ferramenta nativa do Mac chamada “ditto” para compactar todos os arquivos roubados em um único arquivo chamado “osalogging.zip”, armazenado na pasta temporária /tmp.\n\nScript baixado via curl contém domínio, token e chave de API hardcodados, e aciona o osascript para iniciar a coleta de dados assim que é executado no sistema da vítima. Imagem: CyberProof.\n\nEsse arquivo é então dividido em partes de 10 MB. Para cada envio, o script gera um identificador de sessão único combinando o horário atual com uma sequência aleatória de caracteres. Isso dificulta a rastreabilidade da operação.\n\nOs dados são transmitidos ao servidor dos atacantes via HTTP. Se o envio falhar, o sistema tenta novamente até oito vezes antes de desistir.\n\n## O malware apaga os próprios rastros\n\nApós o envio bem-sucedido, o Amos Stealer executa comandos para deletar o arquivo compactado e a pasta temporária criada durante o processo. Isso é feito para eliminar evidências da infecção no computador da vítima.\n\nEsse comportamento de autolimpeza torna a detecção mais difícil, especialmente em empresas que não monitoram ativamente os endpoints.\n\nLog de segurança mostra sequência de comandos executados pelo Amos Stealer no macOS, incluindo a criação do arquivo osalogging.zip via ferramenta nativa ditto antes do envio ao servidor dos atacantes. Imagem: CyberProof.\n\n## Como se proteger\n\nA CyberProof recomenda que empresas reforcem as políticas do Gatekeeper, o sistema de verificação de aplicativos do macOS, para impedir a execução de programas de fontes não verificadas. Também é indicado manter o XProtect, o antimalware nativo da Apple, sempre atualizado e aplicar as atualizações de segurança do sistema assim que forem lançadas.\n\nMonitorar comandos curl incomuns nos endpoints é apontado como uma medida prática para identificar tentativas de infecção antes que o malware complete sua execução. Restringir privilégios administrativos nos dispositivos corporativos também reduz o impacto de uma eventual comprometimento.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "Vírus para Mac rouba senhas e arquivos usando ferramentas do próprio sistema"
}