As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Postagens falsas sobre solução de problemas do macOS instalam aplicativos que roubam carteiras de criptomoedas
- Criminosos estão publicando guias falsos de solução de problemas do macOS para enganar os usuários e levá-los a executar comandos maliciosos no Terminal que roubam dados criptografados.
- A campanha está ativa desde o final de 2025 e burla o Gatekeeper porque as vítimas executam os comandos maliciosos por conta própria.
- A Apple adicionou uma proteção no macOS 26.4 que bloqueia a colagem de comandos sinalizados como potencialmente maliciosos no Terminal.
Criminosos estão publicando guias falsos de solução de problemas do macOS no Medium, Craft e Squarespace. O objetivo é induzir os usuários a executar comandos no Terminal que instalam malware direcionado a dados do iCloud, senhas salvas e carteiras de criptomoedas.
A equipe de pesquisa de segurança do Microsoft Defender publicou as descobertas. A campanha está em andamento desde o final de 2025 e visa usuários de Mac que buscam ajuda com problemas comuns, como liberar espaço em disco ou corrigir erros do sistema.
Em vez de oferecer uma solução legítima, as páginas instruem os usuários a copiar um comando e colá-lo no Terminal. Esse comando baixa e executa um malware.
As postagens enganosas do blog instruem os leitores a copiar um comando malicioso e colá-lo no Terminal. Esse comando baixa um malware e o executa no computador da vítima.
A técnica chama-se ClickFix. Trata-se de engenharia social que transfere a responsabilidade pela execução do malware para a vítima. Como o usuário executa o comando diretamente no Terminal, o Gatekeeper do macOS nunca inspeciona o malware.
Normalmente, o Gatekeeper verifica a assinatura de código e a autenticação em pacotes de aplicativos abertos pelo Finder, mas este método contorna isso completamente.
Os atacantes lançaram três campanhas com o mesmo objetivo
A Microsoft identificou três instaladores de campanha:
- Uma carregadeira.
- Um roteiro.
- Um ajudante.
Os três métodos coletam dados sensíveis, estabelecem persistência e exfiltram informações roubadas para os servidores do atacante.
As famílias de malware incluem AMOS, Macsync e SHub Stealer. Se alguma dessas três famílias estiver instalada, ela tenta obter dados de contas do iCloud e do Telegram. Em seguida, procura por documentos e fotos privados com menos de 2 MB. Além disso,tracchaves de carteiras de criptomoedas como Exodus, Ledger e Trezor, e rouba nomes de usuário e senhas salvas no Chrome e no Firefox.
Após a instalação, o malware exibe uma caixa de diálogo falsa e solicita a senha do sistema para instalar uma "ferramenta auxiliar". Se o usuário inserir a senha, o invasor obtém acesso total aos arquivos e configurações do sistema.
Em alguns casos, os pesquisadores descobriram que os invasores excluíram aplicativos legítimos de carteiras de criptomoedas e os substituíram por versões infectadas por cavalos de Troia, projetadas para monitorar transações e roubar fundos.
Trezor Suite, Ledger Wallet e Exodus foram alguns dos principais aplicativos visados neste ataque.
A campanha de carregamento também inclui um mecanismo de desativação. O malware para de ser executado se detectar um layout de teclado russo.
Pesquisadores de segurança observaram invasores usando curl, osascript e outros utilitários nativos do macOS para executar payloads diretamente na memória. Essa abordagem sem arquivos dificulta a detecção por ferramentas antivírus padrão.
Ataques visam desenvolvedores de criptomoedas
Pesquisadores de segurança da ANY[.]RUN descobriram uma operação do Lazarus Group chamada “Mach-O Man”. Os hackers usaram a mesma técnica do ClickFix por meio de convites falsos para reuniões. Eles atacaram servidores de fintech e criptomoedas, onde o macOS é um sistema operacional comum.
Cryptopolitan publicou uma matéria sobre a campanha PromptMink.
Um pacote npm malicioso foi inserido em um projeto de negociação de criptomoedas pelo grupo norte-coreano Famous Chollima por meio de uma alteração gerada por inteligência artificial. Utilizando uma abordagem de pacote de duas camadas, o malware obteve acesso a dados de carteira e segredos do sistema.
Ambas as campanhas demonstram o valor dos dados de carteiras de criptomoedas. Os atacantes estão adaptando seus métodos de distribuição, desde postagens falsas em blogs até comprometimentos da cadeia de suprimentos com auxílio de inteligência artificial, para acessá-los.
Existe um meio-termo entre deixar o dinheiro no banco e arriscar tudo em criptomoedas. Comece com este vídeo gratuito sobre finanças descentralizadas.
Perguntas frequentes
O que é o ClickFix e como funciona no macOS?
O ClickFix é um ataque de engenharia social que engana os usuários para que copiem e colem um comando no Terminal, o qual baixa e executa um malware.
Quais carteiras de criptomoedas são alvo desta campanha de malware?
Exodus, Ledger e Trezor foram os principais alvos. Em alguns casos, os atacantes desinstalaram carteiras legítimas e as substituíram por aplicativos infectados por trojans.
A Apple lançou alguma correção para o ataque ClickFix Terminal?
A Apple adicionou uma proteção no macOS 26.4 que bloqueia a colagem de comandos sinalizados como potencialmente maliciosos no Terminal. Ela exibe um aviso que diz "Possível malware, colagem bloqueada"
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrondentdentdentdentdentdentdentdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
CURSO
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)