Ataques a Macs evoluem: de furto de senhas ao controle total dos dispositivos
Uma nova fase da campanha maliciosa conhecida como ClickFix está mudando o cenário de ameaças para usuários de macOS. Pesquisadores do Netskope Threat Labs identificaram uma variante mais avançada desse ataque, que deixa de atuar apenas como ladrão de credenciais e passa a incorporar ferramentas de acesso remoto, capazes de manter o controle persistente sobre computadores comprometidos.
Se antes o foco principal era roubar senhas, cookies e outros dados sensíveis, agora os criminosos adicionaram um trojan de acesso remoto (RAT – Remote Access Trojan). Com isso, o ataque deixa de ser um incidente pontual de vazamento de dados e passa a representar um risco contínuo, permitindo que os invasores executem comandos, instalem novos malwares, alterem configurações e utilizem a máquina da vítima como porta de entrada para movimentações laterais na rede da empresa.
Cadeia de infecção “fileless”: o ataque que quase não deixa rastros
Uma das características mais perigosas dessa nova variante é o fato de utilizar uma cadeia de infecção totalmente “fileless”. Em vez de depender de arquivos maliciosos gravados no disco – o que facilitaria a detecção por antivírus tradicionais -, o ataque é executado diretamente na memória do sistema.
Tudo começa com engenharia social: o usuário é induzido a rodar um comando no terminal do macOS. Esse comando costuma ser apresentado como parte de um “procedimento de correção”, “ajuste de configurações” ou “passo necessário” para solucionar supostos erros do sistema ou problemas em navegadores e aplicativos. Ao confiar na falsa orientação, a vítima, na prática, entrega ao invasor a chave para iniciar o comprometimento do dispositivo.
A partir da execução desse comando, o código malicioso é injetado na memória e passa a operar sem depender de arquivos persistentes facilmente identificáveis. Isso dificulta o trabalho de soluções de segurança baseadas apenas em assinaturas ou em varreduras de arquivos, reforçando a importância de monitoramento comportamental e de soluções de EDR/XDR focadas em detecção de atividades anômalas.
Roubo de dados sensíveis e exploração do Keychain
Logo após a infecção, o malware inicia uma série de ações voltadas à coleta de informações:
– Senhas armazenadas em navegadores;
– Cookies de sessão que podem permitir o sequestro de contas sem necessidade de senha;
– Dados de preenchimento automático;
– Informações guardadas no Keychain do macOS, incluindo credenciais de serviços corporativos, e-mails e aplicativos de produtividade.
O acesso ao Keychain é especialmente crítico, pois muitas empresas confiam no ecossistema Apple para proteger credenciais de alto valor. Uma vez que o atacante obtém esse conteúdo, torna-se possível comprometer contas corporativas, acessar sistemas internos, serviços em nuvem e ferramentas de colaboração, ampliando muito o impacto de uma única máquina comprometida.
Persistência e controle remoto: o RAT entra em cena
A grande mudança nessa nova onda da campanha ClickFix é a adoção de um trojan de acesso remoto. Em vez de “pegar os dados e ir embora”, os invasores configuram mecanismos de persistência que garantem acesso contínuo ao dispositivo.
Esses mecanismos podem incluir:
– Configuração de scripts executados na inicialização do macOS;
– Abuso de agentes e serviços do sistema para reiniciar o malware após reboot;
– Modificações em configurações de usuários para manter o canal de comunicação aberto com os servidores de comando e controle (C2).
Uma vez estabelecida a persistência, os cibercriminosos conseguem:
– Executar comandos remotamente como se estivessem diante do computador;
– Instalar outros malwares (como stealers, keyloggers ou ransomware);
– Alterar configurações de segurança;
– Utilizar a máquina comprometida como ponto de apoio para explorar outros dispositivos da rede.
Isso transforma um incidente isolado de vazamento de dados em uma ameaça de longo prazo, que pode servir como ponto de partida para invasões mais amplas, espionagem corporativa e fraudes financeiras.
Alvo especial: carteiras de criptomoedas
Outro aspecto relevante observado pelos pesquisadores é o foco crescente em aplicativos de carteiras de criptomoedas. A nova variante da campanha ClickFix inclui funcionalidades específicas para comprometer essas aplicações, substituindo componentes legítimos por versões adulteradas.
Entre os possíveis impactos, destacam-se:
– Roubo de chaves privadas armazenadas localmente;
– Desvio de fundos ao alterar endereços de destino em transações;
– Interceptação de frases-semente (seed phrases) e credenciais de acesso;
– Monitoramento de transações para planejar movimentações fraudulentas de maior valor.
Com o aumento do uso de criptomoedas tanto por usuários finais quanto por empresas, esse tipo de recurso torna o ataque especialmente lucrativo e difícil de detectar, já que muitas movimentações podem ser vistas apenas como “operações financeiras regulares”, quando na verdade foram manipuladas por invasores.
Evolução da campanha ClickFix: de ladrão de dados a plataforma de invasão
De acordo com o Netskope Threat Labs, essa evolução representa um marco na estratégia por trás da campanha ClickFix. O que começou como um modelo relativamente “simples” de coleta de dados sensíveis passou a se comportar como uma plataforma completa de invasão e persistência.
Em vez de apenas exfiltrar informações para uso futuro, os operadores da campanha agora podem:
– Manter o acesso ao dispositivo por tempo indeterminado;
– Voltar a explorar a máquina sempre que necessário;
– Vender o acesso a outros grupos criminosos especializados em diferentes tipos de ataque (ransomware, fraude financeira, espionagem).
Essa mudança aumenta o valor de cada máquina comprometida no mercado clandestino e torna a campanha mais atrativa para diferentes perfis de cibercriminosos, o que tende a ampliar o volume e a frequência dos ataques.
Por que Macs se tornaram um alvo mais interessante
Durante anos, existiu um mito de que computadores Apple seriam “imersos” a vírus e malwares. Embora o macOS tenha, de fato, camadas robustas de segurança, a popularização dos Macs no ambiente corporativo e entre profissionais de alta renda tornou a plataforma muito mais atraente para atacantes.
Alguns fatores que contribuem para isso:
– Crescente uso de Macs por executivos, desenvolvedores e equipes de marketing, com acesso a informações estratégicas;
– Integração intensa com serviços em nuvem corporativos (e-mail, CRM, ERPs, ferramentas de colaboração);
– Falsa sensação de segurança por parte de usuários que acreditam estar “protegidos por padrão”;
– Menor maturidade de algumas empresas na gestão de endpoints macOS em comparação com ambientes Windows, inclusive em políticas de monitoramento e resposta a incidentes.
A campanha ClickFix explora exatamente esse cenário: usuários que se sentem seguros, combinados com técnicas sofisticadas de engenharia social e cadeias fileless que burlam defesas mais básicas.
Como as empresas podem se proteger
Diante dessa nova variante, a proteção de Macs deve ser tratada com o mesmo rigor aplicado a qualquer outro endpoint corporativo. Algumas medidas são fundamentais:
1. Educação e conscientização de usuários
– Reforçar, de forma contínua, que nenhum usuário deve executar comandos no terminal a partir de instruções exibidas em páginas da web, pop-ups de sites ou supostos alertas de “suporte técnico”.
– Explicar com exemplos reais como funciona a engenharia social usada nesses ataques, mostrando telas e mensagens típicas (em ambiente controlado, para treino).
2. Bloqueio de páginas e domínios maliciosos
– Utilizar soluções de filtragem de conteúdo e DNS para bloquear o acesso a sites conhecidos por distribuir scripts maliciosos ou induzir à execução de comandos.
– Implementar políticas de navegação segura com análise de reputação de URLs em tempo real.
3. Monitoramento de comportamento em macOS
– Adotar ferramentas de EDR/XDR compatíveis com macOS, capazes de identificar atividades suspeitas como:
– Execução incomum de scripts;
– Coleta massiva de credenciais ou cookies;
– Comunicação recorrente e cifrada com servidores externos desconhecidos.
– Criar alertas específicos para uso anômalo do terminal e para processos que interajam com o Keychain fora de padrões esperados.
4. Endurecimento (hardening) do ambiente
– Restringir o uso do terminal e de scripts para usuários que realmente precisem dessa funcionalidade.
– Aplicar o princípio de menor privilégio, reduzindo o impacto de credenciais comprometidas.
– Manter o macOS e todos os aplicativos atualizados, incluindo navegadores e extensões.
5. Proteção de carteiras de criptomoedas e ativos digitais
– Orientar usuários e equipes que lidam com criptoativos a utilizar hardware wallets sempre que possível, evitando armazenamento de chaves privadas diretamente em endpoints.
– Separar ambientes de uso geral e de gestão de ativos sensíveis, reduzindo a superfície de ataque.
O papel das equipes de segurança e TI
Para lidar com ameaças como a nova variante da ClickFix, não basta apenas instalar mais uma ferramenta. É necessário integrar pessoas, processos e tecnologia:
– Pessoas:
Programas contínuos de treinamento, simulações de phishing e campanhas educativas específicas para macOS.
– Processos:
Definição clara de procedimentos de resposta a incidentes envolvendo Macs, incluindo:
– Isolamento rápido da máquina da rede;
– Coleta de evidências de memória (quando possível);
– Revisão de credenciais e sessões ativas após um incidente.
– Tecnologia:
Escolha de soluções que ofereçam visibilidade em tempo real sobre endpoints macOS, correlacionando eventos e permitindo detecção precoce de atividades suspeitas.
Erros comuns que facilitam esse tipo de ataque
Algumas práticas ainda muito comuns em empresas abrem espaço para campanhas como a ClickFix se espalharem com facilidade:
– Permitir que usuários instalem qualquer software sem validação prévia;
– Ausência de inventário atualizado de dispositivos macOS e de seus usuários;
– Falta de políticas de BYOD (traga seu próprio dispositivo) claras, permitindo Macs pessoais no ambiente corporativo sem controles adequados;
– Confiar exclusivamente em soluções de segurança baseadas em assinatura de vírus, sem análise comportamental.
Revisar essas práticas e estabelecer controles mais rígidos sobre o uso de Macs no dia a dia corporativo é essencial para reduzir o impacto de ameaças modernas.
Segurança em Macs: de “diferencial” a requisito obrigatório
A evolução da campanha ClickFix demonstra que o macOS deixou de ser visto pelos atacantes como um alvo secundário. Hoje, Macs ocupam posição estratégica em muitas organizações, o que torna sua proteção uma prioridade.
Investir em visibilidade, em políticas de segurança específicas para macOS e em educação de usuários não é mais opcional. Trata-se de um requisito básico para qualquer empresa que queira reduzir riscos de vazamento de dados, sequestro de contas, perda de ativos digitais e, agora, de controle remoto e persistente de estações de trabalho críticas.
Em um cenário em que um simples comando colado no terminal pode abrir as portas de toda a infraestrutura corporativa, a principal defesa continua sendo a combinação de tecnologias adequadas com usuários bem informados e equipes de segurança preparadas para lidar com ataques cada vez mais sofisticados.