Uma nova campanha que distribui o malware Atomic Stealer para usuários de macOS está abusando do Script Editor em uma variação do ataque ClickFix, que induzia vítimas a executar comandos no Terminal.
O Script Editor é um aplicativo nativo do macOS, usado para escrever e executar scripts, principalmente AppleScript e JXA, e também pode executar scripts locais e comandos de shell.
Trata-se de uma aplicação confiável, já instalada nos sistemas da Apple.
Embora este não seja o primeiro caso de uso indevido para entrega de malware, os pesquisadores observam que, no contexto da técnica de engenharia social ClickFix, a abordagem dispensa a interação manual da vítima com o Terminal para executar comandos.
Além da variante baseada em Terminal, amplamente reportada, o macOS Tahoe 26.4 passou a incluir proteção contra ataques ClickFix, com um aviso exibido ao tentar executar comandos.
Na nova campanha observada por pesquisadores da Jamf, que distribui o Atomic Stealer, os criminosos miram as vítimas com sites falsos com identidade visual da Apple, apresentados como guias para liberar espaço em disco no Mac.
Essas páginas trazem instruções de limpeza do sistema que parecem legítimas, mas usam o esquema de URL applescript:// para abrir o Script Editor com código executável já preenchido.
O código malicioso executa um comando ofuscado do tipo curl | zsh, que baixa e executa um script diretamente na memória do sistema.
Em seguida, ele decodifica um payload em base64 com gzip, faz o download de um binário para /tmp/helper, remove atributos de segurança com xattr -c, torna o arquivo executável e o executa.
O payload final é um binário Mach-O identificado como Atomic Stealer, ou AMOS, um malware commodity vendido como serviço e amplamente usado em campanhas ClickFix ao longo do último ano, com diferentes iscas.
O malware mira uma ampla variedade de dados sensíveis, incluindo informações armazenadas no Keychain, na área de trabalho, em extensões de carteiras de criptomoedas no navegador, dados de autofill, senhas, cookies, cartões de crédito salvos e informações do sistema.
No ano passado, o AMOS também passou a incluir um componente de backdoor para garantir acesso persistente aos sistemas comprometidos.
Usuários de Mac devem tratar prompts do Script Editor como de alto risco e evitar executá-los, a menos que compreendam totalmente sua função e confiem na origem.
Para tutoriais de troubleshooting no macOS, a recomendação é recorrer apenas à documentação oficial da Apple.
O Apple Support Communities, fórum em que clientes da Apple trocam orientações entre si, pode ajudar, embora não esteja isento de risco.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...