Fri, 10 Apr 2026
← VoltarPesquisadores de segurança da Jamf descobriram um novo ataque do tipo ClickFix direcionado a usuários de Mac por meio de uma página falsa com tema da Apple que oferece instruções sobre como “recuperar espaço em disco no seu Mac”. A malícia
Pesquisadores de segurança da Jamf descobriram um novo ataque do tipo ClickFix direcionado a usuários de Mac por meio de uma página falsa com tema da Apple que oferece instruções sobre como “recuperar espaço em disco no seu Mac”. A página maliciosa (Fonte: Jamf) ClickFix para todos ClickFix é uma técnica de engenharia social que induz as vítimas a executar comandos maliciosos em suas próprias máquinas, geralmente fingindo que os comandos são necessários para corrigir um problema ou realizar manutenção de rotina. Essa técnica foi inicialmente voltada para usuários do Windows, mas com o tempo, os usuários do macOS e do Linux também começaram a ser direcionados. "A abordagem ideal para as técnicas ClickFix [macOS] há muito tempo convence os usuários a copiar e colar comandos maliciosos no Terminal sob o pretexto de solução de problemas ou manutenção de rotina do sistema.
A Apple mirou diretamente nisso no macOS 26.4, introduzindo um recurso de segurança que verifica os comandos colados no Terminal antes de serem executados", observaram os pesquisadores do Jamf. Por esse motivo, os invasores passaram a usar um fluxo de trabalho acionado pelo navegador para iniciar o Script Editor, um editor de código para as linguagens de script AppleScript e Javascript for Automation. (Tanto o Terminal quanto o Editor de Scripts são instalados por padrão no macOS.) A isca e o resultado final Do ponto de vista das vítimas, o ataque é assim: Eles visitam a página maliciosa e seguem as instruções Eles clicam no botão “Executar” fornecido A página mostra um prompt solicitando que permitam que o site abra o Editor de Scripts O Editor de Scripts é aberto e pré-preenchido com o script dos invasores Dependendo da versão do macOS que eles usam, eles podem ou não ver um aviso adicional contra a execução do script Se eles ignorarem o aviso e permitirem o script será salvo no disco e executado, o script baixará secretamente uma variante do Atomic Stealer (também conhecido como AMOS) e a executará. Atomic Stealer é um produto por assinatura, vendido a criminosos que o implantam como quiserem.
É capaz de coletar informações do sistema, roubar dados armazenados no Keychain (sistema de gerenciamento de senhas integrado da Apple), dados de preenchimento automático, senhas, cookies e informações de cartão de crédito de navegadores, carteiras de criptomoedas e muito mais. Os pesquisadores do Jamf compartilharam indicadores de comprometimento relacionados a esta campanha de entrega de malware.