Pesquisadores de cibersegurança estão alertando sobre uma nova campanha de malware que utiliza a tática de engenharia social ClickFix para enganar usuários a baixarem um malware de roubo de informações conhecido como Atomic macOS Stealer (AMOS) em sistemas Apple macOS.
A campanha, segundo a CloudSEK, foi descoberta utilizando domínios typo-squatting que imitam o provedor de telecomunicações com sede nos EUA, Spectrum.
"Usuários de macOS recebem um script malicioso projetado para roubar senhas do sistema e baixar uma variante do AMOS para exploração adicional", disse o pesquisador de segurança Koushik Pal em um relatório publicado esta semana.
O script utiliza comandos nativos do macOS para colher credenciais, contornar mecanismos de segurança e executar binários maliciosos.
Acredita-se que a atividade seja trabalho de criminosos cibernéticos russófonos, devido à presença de comentários em russo no código-fonte do malware.
O ponto de partida do ataque é uma página da web que se passa por Spectrum ("panel-spectrum[.]net" ou "spectrum-ticket[.]net").
Visitantes desses sites recebem uma mensagem que os instrui a completar uma verificação hCaptcha para "revisar a segurança" de sua conexão antes de prosseguir.
No entanto, quando o usuário clica na caixa de verificação "Eu sou humano" para avaliação, uma mensagem de erro é exibida dizendo "Falha na verificação do CAPTCHA", instando-os a clicar em um botão para prosseguir com uma "Verificação Alternativa".
Ao fazer isso, um comando é copiado para a área de transferência dos usuários e a vítima recebe um conjunto de instruções dependendo do seu sistema operacional.
Enquanto são orientados a executar um comando PowerShell no Windows, abrindo o diálogo Executar do Windows, isso é substituído por um script shell que é executado ao iniciar o aplicativo Terminal no macOS.
O script shell, por sua vez, solicita aos usuários que insiram sua senha do sistema e baixa uma próxima etapa de payload útil, neste caso, um conhecido stealer chamado Atomic Stealer.
"A lógica mal implementada nos sites de entrega, como instruções incompatíveis entre plataformas, aponta para uma infraestrutura montada às pressas", disse Pal.
"As páginas de entrega em questão para esta campanha variante do AMOS continham imprecisões tanto em sua programação quanto na lógica de front-end.
Para agentes de usuário Linux, um comando PowerShell foi copiado.
Além disso, a instrução 'Pressione & segure a Chave do Windows + R' foi exibida para usuários tanto do Windows quanto do Mac."
A divulgação ocorre em meio a um aumento nas campanhas que usam a tática ClickFix para entregar uma ampla variedade de famílias de malware ao longo do último ano.
"Atores que realizam esses ataques direcionados geralmente utilizam técnicas, ferramentas e procedimentos (TTPs) semelhantes para obter acesso inicial", disse a Darktrace.
Estes incluem ataques de spear phishing, compromissos por drive-by, ou a exploração da confiança em plataformas online familiares, como o GitHub, para entregar payloads maliciosos.
Os links distribuídos usando esses vetores geralmente redirecionam o usuário final para uma URL maliciosa que exibe uma falsa verificação de CAPTCHA, em uma tentativa de enganar os usuários fazendo-os pensar que estão realizando algo inofensivo, quando, na realidade, são guiados a executar comandos maliciosos para corrigir um problema inexistente.
O resultado final desse método eficaz de engenharia social é que os usuários acabam comprometendo seus próprios sistemas, permitindo que os atores de ameaças contornem os controles de segurança.
A empresa de cibersegurança disse que identificou vários ataques ClickFix em ambientes de clientes na Europa, Oriente Médio e África (EMEA), e nos Estados Unidos.
E essas campanhas estão ganhando força, adotando várias variações, mas operando com o mesmo objetivo final de entregar payloads maliciosos, variando de trojans a stealers e ransomware.
No início desta semana, a Cofense detalhou uma campanha de phishing por email que imita a Booking.com, visando cadeias de hotéis e o setor de serviços alimentícios com CAPTCHAs falsos que levam a XWorm RAT, PureLogs Stealer e DanaBot.
O fato de ClickFix ser flexível e fácil de adaptar torna-o um mecanismo de distribuição de malware atraente.
"Embora a exata estrutura de email varie de amostra para amostra, essas campanhas geralmente fornecem emails que imitam a Booking[.]com com links embutidos para um site ClickFix falso de CAPTCHA, que é usado para entregar um script malicioso que executa RATs e/ou stealers de informações", disse a Cofense.
A firma de segurança de email disse que também observou amostras de ClickFix imitando banners de consentimento de cookies, onde clicar no botão "Aceitar" causa o download de um arquivo de script malicioso.
Posteriormente, o usuário é solicitado a executar o script para aceitar os cookies.
Em um incidente analisado pela Darktrace em abril de 2025, atores de ameaças desconhecidos foram encontrados utilizando ClickFix como um vetor de ataque para baixar payloads não descritas para se aprofundar no ambiente alvo, realizar movimentos laterais, enviar informações relacionadas ao sistema para um servidor externo via uma solicitação HTTP POST, e, por fim, exfiltrar dados.
"O ClickFix baiting é uma tática amplamente utilizada na qual os atores de ameaças exploram o erro humano para contornar defesas de segurança", disse a Darktrace.
"Enganando usuários finais a executarem ações aparentemente inofensivas e rotineiras, os atacantes ganham acesso inicial aos sistemas onde podem acessar e exfiltrar dados sensíveis."
Outros ataques ClickFix empregaram versões falsas de outros serviços populares de CAPTCHA, como Google reCAPTCHA e Cloudflare Turnstile para entrega de malware sob o pretexto de verificações de segurança rotineiras.
Essas páginas falsas são "cópias pixel-perfeitas" de suas contrapartes legítimas, às vezes até injetadas em sites reais, mas hackeados para enganar usuários desavisados.
Stealers como Lumma e StealC, assim como trojans de acesso remoto (RATs) totalmente desenvolvidos, como NetSupport RAT, são alguns dos payloads distribuídos via páginas Turnstile falsas.
"Usuários modernos da internet estão inundados com verificações de spam, CAPTCHAs e prompts de segurança em sites, e eles foram condicionados a clicar através destes o mais rápido possível", disse Daniel Kelley da SlashNext.
Os atacantes exploram essa 'fadiga de verificação', sabendo que muitos usuários cumprirão qualquer etapa apresentada se parecer rotina.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...