Macos

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Uma nova campanha de cibersegurança está em andamento, visando usuários do macOS através de páginas fraudulentas no GitHub. A equipe de inteligência de ameaças da LastPass identificou repositórios falsos que imitam empresas legítimas, como gerenciadores de senhas e instituições financeiras. Esses sites, que aparecem nas primeiras posições dos resultados de busca, enganam os usuários a instalarem um software malicioso chamado Atomic Stealer, que coleta credenciais e dados sensíveis. Os atacantes utilizam técnicas de SEO agressivas para aumentar a visibilidade de suas páginas, dificultando a detecção. Quando os usuários clicam nos links de download, são redirecionados para um site que instrui a execução de um comando no Terminal do macOS, que baixa e executa um script malicioso. A LastPass recomenda que os usuários instalem aplicativos apenas de fontes verificadas e que as equipes de segurança monitorem URLs suspeitas. A campanha é uma preocupação crescente, especialmente devido à sua capacidade de evadir controles de segurança básicos e à rápida rotação de contas e repositórios utilizados pelos atacantes.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

O macOS, apesar de suas robustas proteções nativas, continua sendo um alvo atrativo para cibercriminosos. Este artigo analisa três mecanismos de segurança fundamentais do sistema: Keychain, System Integrity Protection (SIP) e o framework Transparency, Consent, and Control (TCC). O Keychain, gerenciador de senhas do macOS, é vulnerável a ferramentas como Chainbreaker, que podem descriptografar arquivos de chave se o invasor obtiver a senha. O SIP protege diretórios críticos do sistema, mas pode ser desativado por administradores em modo de recuperação, o que não é registrado por monitores padrão, exigindo atenção especial. O TCC controla o acesso de aplicativos a recursos sensíveis, mas ataques de clickjacking podem enganar usuários a conceder permissões indevidas. Além disso, o Gatekeeper, que verifica a assinatura de código, pode ser contornado por técnicas de engenharia social. Para mitigar esses riscos, é essencial que as organizações adotem soluções avançadas de EDR, implementem logs detalhados de criação de processos e utilizem regras Sigma específicas para macOS, visando detectar roubo de credenciais e violações de integridade do sistema. A evolução constante das táticas dos atacantes exige uma resposta rápida e eficaz para proteger os usuários do macOS.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.