Macos

Uma nova campanha de cibersegurança está distribuindo o malware Atomic Stealer para usuários de macOS, utilizando o Script Editor em uma variação do ataque ClickFix. O Script Editor é um aplicativo confiável do macOS, que permite a execução de scripts, mas está sendo explorado por hackers para enganar as vítimas a executar comandos maliciosos sem interação manual com o Terminal. Os atacantes criam sites falsos com temas da Apple, que se apresentam como guias para liberar espaço em disco. Esses sites contêm instruções que, ao serem seguidas, abrem o Script Editor com um código executável pré-preenchido. O código malicioso executa um comando ofuscado que baixa e executa um script diretamente na memória do sistema, resultando na instalação do Atomic Stealer, um malware que visa roubar dados sensíveis, como informações do Keychain, senhas e dados de carteiras de criptomoedas. Os usuários de macOS devem tratar os prompts do Script Editor como de alto risco e evitar sua execução a menos que compreendam completamente o que estão fazendo. Para guias de solução de problemas, recomenda-se confiar apenas na documentação oficial da Apple.

Um novo esquema de malware para macOS, conhecido como Infiniti Stealer, foi descoberto pela Malwarebytes. Este infostealer é distribuído através de um ataque de engenharia social chamado ClickFix, que engana as vítimas a executarem um código malicioso no Terminal do macOS. O ataque começa com um redirecionamento para um site que simula uma atualização de software, onde as vítimas são levadas a completar um CAPTCHA que, na verdade, é um código que instala o malware. O Infiniti Stealer é notável por ser escrito em Python e compilado com Nuitka, o que resulta em um executável nativo do macOS, dificultando sua detecção. O malware é capaz de roubar credenciais de navegadores, dados do Keychain do macOS, informações de carteiras de criptomoedas e até capturas de tela. A Malwarebytes alerta que, devido à natureza do ataque, muitas defesas tradicionais são contornadas, tornando os usuários vulneráveis. Para se proteger, recomenda-se cautela com comunicações recebidas, verificação de links e a utilização de autenticação multifator.

A Apple lançou uma nova funcionalidade de segurança na versão 26.4 do macOS Tahoe, que visa proteger os usuários contra ataques do tipo ClickFix. Essa técnica de engenharia social engana os usuários a colar comandos maliciosos no Terminal, acreditando que estão resolvendo um problema. A nova mecânica do sistema impede a execução imediata de comandos potencialmente prejudiciais, exibindo um alerta que informa sobre os riscos associados. O alerta é acionado quando comandos são copiados de navegadores, como o Safari, e colados no Terminal. Embora os usuários possam optar por ignorar o aviso, a Apple recomenda cautela, especialmente se a origem do comando for desconhecida. A funcionalidade foi relatada por usuários desde a versão candidata do sistema, mas não foi mencionada nas notas de lançamento oficiais. A Apple ainda não divulgou documentação de suporte sobre esse novo sistema de alertas, e a eficácia do mecanismo em identificar comandos arriscados permanece incerta. Especialistas em segurança recomendam que usuários de qualquer sistema operacional evitem executar comandos encontrados online sem total compreensão de suas funções.

Um estudo recente da Omnissa revelou que muitos laptops empresariais, especialmente aqueles com Windows, estão atrasados em suas atualizações, o que resulta em instabilidade e riscos de segurança. A pesquisa indica que dispositivos Windows enfrentam 3,1 vezes mais desligamentos forçados e 2,2 vezes mais falhas de aplicativos em comparação com sistemas macOS. Além disso, ambientes Windows experimentam 7,5 vezes mais travamentos de aplicativos, o que interrompe significativamente o fluxo de trabalho dos funcionários. A falta de atualizações não apenas compromete a estabilidade, mas também a segurança, com mais de 50% dos dispositivos em ambientes educacionais e de saúde permanecendo não criptografados. A crescente adoção de ferramentas de inteligência artificial, que aumentaram em quase 1000% no último ano, está pressionando ainda mais esses sistemas desatualizados, tornando-os mais suscetíveis a problemas de desempenho. O artigo destaca a necessidade urgente de dados de telemetria granular para orientar decisões de aquisição de dispositivos e garantir que os laptops empresariais atendam às exigências dos funcionários.

Um novo malware de roubo de informações, chamado Infinity Stealer, está direcionando ataques a sistemas macOS utilizando um payload em Python, que é empacotado como um executável com o compilador Nuitka. Este ataque emprega a técnica ClickFix, que apresenta um CAPTCHA falso semelhante ao verificador humano da Cloudflare, enganando os usuários para que executem código malicioso. Segundo pesquisadores da Malwarebytes, esta é a primeira campanha documentada no macOS que combina a entrega via ClickFix com um infostealer baseado em Python compilado com Nuitka. O uso do Nuitka resulta em um binário nativo que é mais resistente à análise estática, tornando a engenharia reversa mais difícil em comparação com ferramentas como PyInstaller. O ataque começa com um isco ClickFix no domínio update-check[.]com, que solicita que o usuário cole um comando obfuscado no Terminal do macOS, contornando defesas do sistema operacional. O malware é capaz de coletar dados sensíveis, como credenciais de navegadores, entradas do Keychain do macOS e segredos em arquivos de desenvolvedor, exfiltrando essas informações via requisições HTTP POST. A Malwarebytes alerta que a evolução de ameaças como o Infinity Stealer demonstra que os riscos para usuários de macOS estão se tornando mais sofisticados e direcionados.

Pesquisadores da Sophos identificaram três campanhas distintas de ClickFix que atuam como vetores de entrega para um malware chamado MacSync, um ladrão de informações para macOS. Diferente de ataques tradicionais que dependem de exploits, essa técnica se baseia na interação do usuário, como copiar e executar comandos no terminal, tornando-a eficaz contra aqueles que não compreendem os riscos de executar comandos desconhecidos. As campanhas ocorreram entre novembro de 2025 e fevereiro de 2026, utilizando iscas como resultados patrocinados no Google e conversas do ChatGPT para enganar os usuários. O malware é projetado para coletar uma variedade de dados, incluindo credenciais e informações de carteiras de criptomoedas, e suas variantes mais recentes adaptam-se às medidas de segurança do sistema operacional. A técnica ClickFix tem sido amplamente adotada por diferentes grupos de ameaças, refletindo uma evolução nas táticas de engenharia social. Com o aumento do uso de ferramentas de IA e codificação, a ameaça se torna ainda mais relevante, especialmente para usuários de macOS, que frequentemente possuem credenciais de alto valor.

A recente pesquisa revela que atores de ameaças estão explorando artefatos gerados pelo modelo de linguagem Claude, da Antropic, e anúncios do Google em campanhas ClickFix para distribuir malware infostealer a usuários de macOS. Observou-se pelo menos duas variantes dessa atividade maliciosa, com mais de 10.000 acessos a conteúdos que orientam os usuários a executar comandos perigosos no Terminal. Os artefatos, que podem incluir instruções e guias, não são verificados quanto à precisão, o que aumenta o risco. As campanhas maliciosas direcionam os usuários a executar comandos que baixam um loader de malware, o MacSync, que exfiltra informações sensíveis do sistema. O malware se comunica com a infraestrutura de comando e controle (C2) utilizando um token codificado e um key API, disfarçando-se como atividade normal do macOS. A pesquisa indica que a mesma ameaça pode estar por trás de outras campanhas semelhantes, ampliando a preocupação sobre o uso indevido de modelos de linguagem. Especialistas recomendam que os usuários evitem executar comandos desconhecidos e verifiquem a segurança das instruções antes de qualquer execução.

A Microsoft identificou um aumento alarmante de ataques de infostealers direcionados ao sistema operacional macOS, uma prática que antes se concentrava principalmente em usuários do Windows. Desde o final de 2025, hackers têm utilizado uma combinação de engenharia social, correções falsas e arquivos DMG maliciosos para disseminar malware. O infostealer, que opera em conjunto com ferramentas como DigitStealer, MacSync e Atomic Stealer, é capaz de contornar as barreiras de segurança do macOS e roubar informações sensíveis, como senhas e dados bancários. Os ataques são frequentemente facilitados por meio de sites falsos promovidos em anúncios do Google e e-mails de phishing que induzem as vítimas a instalar o software malicioso. Além disso, a linguagem de programação Python tem sido utilizada para desenvolver esses malwares, aumentando a eficácia dos ataques. A situação é preocupante, pois os criminosos não apenas coletam dados, mas também apagam rastros digitais, dificultando a detecção de suas atividades. Essa nova onda de ataques representa um risco significativo para usuários de macOS, que historicamente se consideravam menos vulneráveis a esse tipo de ameaça.

A Microsoft emitiu um alerta sobre a crescente ameaça de malware infostealer que agora se expande além das campanhas tradicionais focadas em Windows, atingindo também dispositivos macOS. Segundo um relatório da empresa, os cibercriminosos estão utilizando técnicas de engenharia social e anúncios maliciosos para distribuir instaladores DMG que contêm variantes como DigitStealer, MacSync e AMOS (Atomic macOS Stealer). Esses malwares visam roubar dados sensíveis, incluindo sessões de navegador, credenciais de desenvolvedor e tokens de nuvem, facilitando ataques como sequestro de contas e ransomware.

A Microsoft alertou que ataques de roubo de informações estão se expandindo rapidamente para ambientes macOS, utilizando linguagens de programação multiplataforma como Python e explorando plataformas confiáveis para distribuição em larga escala. Desde o final de 2025, campanhas de infostealers direcionadas ao macOS têm utilizado técnicas de engenharia social, como o ClickFix, para distribuir instaladores maliciosos que implantam famílias de malware como Atomic macOS Stealer (AMOS) e DigitStealer. Esses ataques frequentemente começam com anúncios maliciosos, muitas vezes veiculados pelo Google Ads, que redirecionam usuários em busca de ferramentas populares para sites falsos, levando-os a infectar suas próprias máquinas. Os atacantes têm utilizado execução sem arquivos e automação via AppleScript para facilitar o roubo de dados, incluindo credenciais de navegadores e informações financeiras. A Microsoft identificou campanhas específicas, como a do PXA Stealer, que coleta dados sensíveis através de e-mails de phishing. Para mitigar esses riscos, as organizações devem educar seus usuários sobre ataques de engenharia social e monitorar atividades suspeitas.

Um novo ataque de malware chamado GlassWorm, que utiliza extensões comprometidas do OpenVSX, está focado em roubar senhas, dados de carteiras de criptomoedas e credenciais de desenvolvedores em sistemas macOS. O ataque começou em outubro de 2023, quando um desenvolvedor legítimo teve sua conta acessada e atualizações maliciosas foram enviadas para quatro extensões, que já haviam sido baixadas 22.000 vezes. O malware se esconde usando caracteres Unicode invisíveis e permite acesso remoto via VNC e proxy SOCKS. A campanha, que afeta exclusivamente sistemas macOS, coleta dados de navegadores, aplicativos de carteira e informações do sistema, enviando tudo para a infraestrutura do atacante. A equipe de segurança da Socket notificou a Fundação Eclipse sobre as publicações não autorizadas, que foram removidas, exceto uma extensão que foi completamente eliminada. Embora as versões atuais das extensões estejam limpas, desenvolvedores que baixaram as versões maliciosas devem realizar uma limpeza completa do sistema e trocar todas as suas senhas.

Pesquisadores da MacKeeper identificaram uma nova campanha de cibercriminosos que visa usuários de Mac, utilizando anúncios maliciosos no Google. Quando os usuários buscam por ’limpeza de Mac’, eles podem ser direcionados a uma página falsa que imita o site de suporte da Apple. Ao clicar no link, a vítima é induzida a executar um comando malicioso no Terminal do macOS, ofuscado em Base64. Esse comando instala um script remoto que permite o controle total do sistema pelos hackers. Em vez de realizar uma limpeza, o malware rouba dados sensíveis, extrai chaves SSH e até minera criptomoedas. Os anúncios maliciosos são veiculados por contas verificadas do Google, que parecem ter sido comprometidas. Essa situação representa um risco significativo para a segurança dos usuários de macOS, especialmente considerando a popularidade dos dispositivos Apple no Brasil.

Pesquisadores de cibersegurança descobriram uma nova variante do malware MacSync, um ladrão de informações para macOS, que é distribuído por meio de um aplicativo Swift assinado digitalmente e notariado, disfarçado como instalador de um aplicativo de mensagens. Essa abordagem visa contornar as verificações de segurança da Apple, como o Gatekeeper. Ao contrário de variantes anteriores que utilizavam técnicas de arrastar para o terminal, esta versão adota uma abordagem mais enganosa e automatizada. O instalador, nomeado ‘zk-call-messenger-installer-3.9.2-lts.dmg’, foi encontrado em um site específico e, apesar de ser assinado, exibe instruções para que os usuários abram o aplicativo manualmente, uma tática comum para evitar bloqueios. O dropper em Swift realiza várias verificações antes de baixar e executar um script codificado, incluindo a validação da conectividade com a internet e a remoção de atributos de quarentena. Além disso, a nova variante apresenta mudanças significativas na forma como o payload é recuperado, utilizando comandos que visam melhorar a confiabilidade e evitar detecções. A inclusão de documentos PDF irrelevantes no DMG também serve como uma técnica de evasão, aumentando o tamanho do arquivo para 25,5 MB. O MacSync, uma versão rebranded do Mac.c, possui capacidades de controle remoto além do roubo de dados, refletindo uma tendência crescente de malware que se disfarça como aplicativos legítimos.

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.

Um novo recurso da ThreatLocker, chamado Defense Against Configurations (DAC), foi lançado para macOS, visando identificar e corrigir configurações inseguras que podem ser exploradas por atacantes. O DAC realiza varreduras frequentes nos dispositivos, detectando falhas como a falta de criptografia em discos, configurações inadequadas de firewall e permissões excessivas de compartilhamento. Essas vulnerabilidades são comuns em ambientes de trabalho que utilizam Macs, especialmente em setores criativos como design e produção de mídia. O DAC fornece um painel de controle unificado, permitindo que administradores visualizem e remedeiem problemas de segurança de forma eficiente, alinhando-se a frameworks de segurança reconhecidos como CIS e NIST. A funcionalidade é especialmente relevante para organizações que utilizam Macs, pois oferece uma camada adicional de visibilidade e controle sobre a segurança dos endpoints, ajudando a prevenir incidentes antes que ocorram.

Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.

A Microsoft identificou uma nova variante do malware XCSSET, uma backdoor para macOS que tem sido utilizada em ataques direcionados limitados. Este malware, que já era conhecido desde 2020 por infectar projetos de desenvolvimento no Xcode, agora apresenta novas funcionalidades que aumentam sua capacidade de roubo de dados. A nova versão é capaz de roubar informações do navegador Firefox e sequestrar a área de transferência do sistema, substituindo endereços de criptomoedas por aqueles dos atacantes, o que pode resultar em perdas financeiras significativas para as vítimas. Além disso, o XCSSET implementa um método de persistência que o torna mais difícil de ser detectado e removido. Embora a Microsoft tenha observado apenas ataques limitados até o momento, a situação é preocupante, levando Apple e GitHub a remover repositórios maliciosos associados. É essencial que desenvolvedores e usuários de macOS estejam cientes dessa ameaça e adotem medidas de segurança adequadas.

Pesquisadores em cibersegurança identificaram uma versão atualizada do malware XCSSET, que tem sido observado em ataques limitados. De acordo com um relatório da equipe de Inteligência de Ameaças da Microsoft, essa nova variante apresenta mudanças significativas no direcionamento a navegadores, sequestro de clipboard e mecanismos de persistência. O malware utiliza técnicas sofisticadas de criptografia e ofuscação, além de scripts AppleScript compilados para execução discreta. A exfiltração de dados foi ampliada para incluir informações do navegador Firefox. O XCSSET é um malware modular projetado para infectar projetos do Xcode, utilizados por desenvolvedores de software, e sua distribuição ainda não está clara, mas suspeita-se que ocorra através de arquivos de projeto compartilhados. A nova versão inclui um submódulo que monitora o conteúdo da área de transferência em busca de padrões de endereços de carteiras de criptomoedas, substituindo-os por endereços controlados por atacantes. Para mitigar essa ameaça, recomenda-se que os usuários mantenham seus sistemas atualizados e tenham cautela ao copiar dados sensíveis.

A Microsoft Threat Intelligence identificou uma nova variante do malware XCSSET, que representa riscos significativos para desenvolvedores de aplicativos macOS que utilizam o Xcode. Esta versão aprimorada introduz técnicas de ofuscação avançadas, capacidades expandidas de exfiltração de dados e mecanismos de persistência que evoluíram desde sua documentação inicial em março de 2025. O malware opera por meio de uma cadeia de infecção em quatro etapas, inserindo código malicioso em arquivos de projeto. Quando os desenvolvedores constroem projetos infectados, o XCSSET é executado silenciosamente em segundo plano, explorando a confiança que os desenvolvedores depositam em repositórios de código compartilhados. Uma característica preocupante é o módulo de monitoramento da área de transferência, que pode substituir endereços de carteiras de criptomoedas, redirecionando transações. Além disso, o malware agora também coleta dados do navegador Firefox, aumentando seu potencial de coleta de informações. O XCSSET desativa recursos críticos de segurança do macOS, deixando sistemas infectados vulneráveis a outras ameaças. Para mitigar esses riscos, recomenda-se que as organizações implementem procedimentos rigorosos de verificação de projetos no Xcode e utilizem o Microsoft Defender para Endpoint.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Uma nova campanha de cibersegurança está em andamento, visando usuários do macOS através de páginas fraudulentas no GitHub. A equipe de inteligência de ameaças da LastPass identificou repositórios falsos que imitam empresas legítimas, como gerenciadores de senhas e instituições financeiras. Esses sites, que aparecem nas primeiras posições dos resultados de busca, enganam os usuários a instalarem um software malicioso chamado Atomic Stealer, que coleta credenciais e dados sensíveis. Os atacantes utilizam técnicas de SEO agressivas para aumentar a visibilidade de suas páginas, dificultando a detecção. Quando os usuários clicam nos links de download, são redirecionados para um site que instrui a execução de um comando no Terminal do macOS, que baixa e executa um script malicioso. A LastPass recomenda que os usuários instalem aplicativos apenas de fontes verificadas e que as equipes de segurança monitorem URLs suspeitas. A campanha é uma preocupação crescente, especialmente devido à sua capacidade de evadir controles de segurança básicos e à rápida rotação de contas e repositórios utilizados pelos atacantes.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

Uma nova campanha de malware, chamada Atomic macOS Stealer (AMOS), foi descoberta, visando usuários do macOS ao se disfarçar como software pirata. Os atacantes atraem as vítimas para sites maliciosos que oferecem versões ‘crackeadas’ de aplicativos populares. O malware utiliza técnicas enganosas de instalação que exploram as permissões do Gatekeeper do macOS e comandos do Terminal. Uma vez instalado, o AMOS coleta informações sensíveis, como credenciais, cookies de navegador e dados de carteiras de criptomoedas, antes de exfiltrar essas informações para servidores controlados pelos atacantes. As organizações são aconselhadas a reforçar as configurações do Gatekeeper, desativar a instalação de software não assinado e treinar os usuários sobre os riscos associados ao software pirata. A detecção e resposta gerenciadas são essenciais para mitigar os riscos associados a essa ameaça, que representa um sério desafio à segurança, especialmente em ambientes corporativos que utilizam dispositivos Apple.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware que utiliza arquivos SVG como parte de ataques de phishing, disfarçando-se como o sistema judicial colombiano. Os arquivos SVG são enviados por e-mail e contêm um código JavaScript embutido que decodifica e injeta uma página de phishing em HTML, simulando um portal da Fiscalía General de la Nación. Essa página finge realizar o download de documentos oficiais, enquanto, em segundo plano, baixa um arquivo ZIP não especificado. A análise do VirusTotal revelou 44 arquivos SVG únicos, todos não detectados por motores antivírus devido a técnicas de ofuscação e polimorfismo. Além disso, a campanha também está associada a um malware chamado Atomic macOS Stealer (AMOS), que visa usuários de macOS, especialmente aqueles que buscam versões piratas de software. AMOS é capaz de roubar uma ampla gama de dados, incluindo credenciais e carteiras de criptomoedas. A Apple implementou proteções para bloquear a instalação de arquivos .dmg não notarizados, mas os atacantes estão adaptando suas táticas para contornar essas defesas, utilizando comandos no Terminal para instalar o malware. Essa evolução nas técnicas de ataque destaca a necessidade de estratégias de defesa em profundidade.

O macOS, apesar de suas robustas proteções nativas, continua sendo um alvo atrativo para cibercriminosos. Este artigo analisa três mecanismos de segurança fundamentais do sistema: Keychain, System Integrity Protection (SIP) e o framework Transparency, Consent, and Control (TCC). O Keychain, gerenciador de senhas do macOS, é vulnerável a ferramentas como Chainbreaker, que podem descriptografar arquivos de chave se o invasor obtiver a senha. O SIP protege diretórios críticos do sistema, mas pode ser desativado por administradores em modo de recuperação, o que não é registrado por monitores padrão, exigindo atenção especial. O TCC controla o acesso de aplicativos a recursos sensíveis, mas ataques de clickjacking podem enganar usuários a conceder permissões indevidas. Além disso, o Gatekeeper, que verifica a assinatura de código, pode ser contornado por técnicas de engenharia social. Para mitigar esses riscos, é essencial que as organizações adotem soluções avançadas de EDR, implementem logs detalhados de criação de processos e utilizem regras Sigma específicas para macOS, visando detectar roubo de credenciais e violações de integridade do sistema. A evolução constante das táticas dos atacantes exige uma resposta rápida e eficaz para proteger os usuários do macOS.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.