Pesquisadores em cybersecurity identificaram uma nova campanha de malware que utiliza arquivos Scalable Vector Graphics (SVG) em ataques de phishing, nos quais os criminosos se passam pelo sistema judiciário da Colômbia.
De acordo com o VirusTotal, os arquivos SVG são distribuídos via email e projetados para executar um payload em JavaScript embutido, que decodifica e injeta uma página HTML de phishing codificada em Base64.
Essa página finge ser um portal da Fiscalía General de la Nación, o Ministério Público colombiano.
A página simula o processo oficial de download de documentos governamentais exibindo uma barra de progresso falsa, enquanto, de forma oculta, aciona o download de um arquivo ZIP em segundo plano.
A natureza exata do conteúdo do arquivo ZIP não foi divulgada.
O serviço de scanner de malware do Google identificou 44 arquivos SVG únicos, todos sem detecção por motores antivírus, graças ao uso de técnicas como obfuscation, polymorphism e grande volume de junk code para evitar métodos de detecção estática.
No total, foram detectados até 523 arquivos SVG em circulação, sendo a amostra mais antiga datada de 14 de agosto de 2025.
“Analisando mais a fundo, vimos que as amostras mais antigas tinham cerca de 25 MB e que o tamanho diminuiu com o tempo, sugerindo que os atacantes vêm evoluindo seus payloads,” afirmou o VirusTotal.
Essa divulgação ocorre em meio ao aumento da disseminação de versões crackeadas de softwares legítimos e táticas do tipo ClickFix para atrair usuários a infectarem seus sistemas Apple macOS com um information stealer chamado Atomic macOS Stealer (AMOS).
Isso expõe empresas a ameaças como credential stuffing, roubo financeiro e outros ataques subsequentes.
“AMOS é projetado para roubo amplo de dados, capaz de exfiltrar credenciais, dados do browser, carteiras de criptomoedas, chats do Telegram, perfis de VPN, itens do keychain, Apple Notes e arquivos de pastas comuns,” explicou a Trend Micro.
AMOS demonstra que o macOS não é mais um alvo periférico.
Com a crescente adoção do macOS em ambientes corporativos, ele se tornou um foco mais atrativo e lucrativo para os atacantes.
A cadeia de ataque basicamente mira usuários em busca de software crackeado em sites como haxmac[.]cc, redirecionando-os para links falsos de download que fornecem instruções para instalação, projetadas para enganar o usuário a executar comandos maliciosos no app Terminal, disparando assim a implantação do AMOS.
Cabe destacar que a Apple impede a instalação de arquivos .dmg sem a devida notarization por meio das proteções do Gatekeeper do macOS, que exigem que os pacotes de aplicativos sejam assinados por um desenvolvedor identificado e notariados pela Apple.
“Com o lançamento do macOS Sequoia, tentativas de instalar arquivos .dmg maliciosos ou não assinados, como os usados nas campanhas AMOS, são bloqueadas por padrão,” complementou a empresa.
Embora isso não elimine totalmente o risco, especialmente para usuários que possam contornar as proteções embutidas, ele eleva a barreira para infecções bem-sucedidas e obriga os atacantes a adaptar seus métodos de entrega.
Por isso, os atores de ameaça estão apostando cada vez mais no ClickFix, que permite a instalação do stealer na máquina via Terminal, utilizando um comando curl especificado na página de download do software.
“Embora as proteções aprimoradas do Gatekeeper no macOS Sequoia tenham bloqueado infecções tradicionais baseadas em .dmg, os atacantes rapidamente migraram para métodos de instalação via Terminal que se mostraram mais eficazes em contornar controles de segurança,” disse a Trend Micro.
Essa mudança destaca a importância de estratégias de defesa em profundidade que não dependam exclusivamente das proteções nativas do sistema operacional.
Esse desenvolvimento também ocorre após a descoberta de uma “campanha cibernética ampla” que mira gamers em busca de cheats, utilizando o stealer StealC e malware para roubo de criptomoedas, com os criminosos conseguindo mais de US$ 135 mil em ganhos.
Segundo a CyberArk, a atividade é notável pelo uso das capacidades de loader do StealC para baixar payloads adicionais, neste caso, um cryptocurrency stealer capaz de desviar ativos digitais de usuários em máquinas infectadas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...