Uma nova campanha ClickFix para macOS está usando comandos no Terminal para baixar, montar e iniciar silenciosamente um malware de infostealing a partir de arquivos de imagem de disco maliciosos, no formato DMG.
A campanha está infectando dispositivos Mac com o Atomic macOS Stealer, conhecido como AMOS, um infostealer que rouba credenciais de navegadores, dados de carteiras de criptomoedas, informações do Keychain, dados de aplicativos de mensagens e documentos do usuário.
Pesquisadores da Palo Alto Networks Unit 42 foram os primeiros a identificar a campanha e afirmam que ela começa com uma página falsa de CAPTCHA, que orienta a vítima a abrir o Terminal e colar um comando malicioso para supostamente se verificar.
Depois de executado, o comando baixa um arquivo DMG de um servidor controlado pelo atacante, monta a imagem de disco de forma silenciosa com a ferramenta nativa hdiutil do macOS, localiza o pacote do aplicativo contido nela e o inicia automaticamente.
ClickFix é uma técnica de engenharia social que exibe CAPTCHAs falsos, erros de navegador ou alertas do sistema para levar o usuário a copiar e executar “instruções de correção” fornecidas pelo atacante.
Nos últimos meses, a técnica ganhou popularidade entre threat actors e vem sendo usada tanto por cibercriminosos quanto por grupos de hackers patrocinados por Estados.
Embora ataques ClickFix envolvendo DMGs não sejam novidade, campanhas anteriores normalmente dependiam de que o usuário abrisse manualmente os arquivos DMG baixados para iniciar aplicativos maliciosos ou executar scripts hospedados em servidores controlados pelo atacante.
A campanha identificada pela Palo Alto combina as duas abordagens ao usar um comando no Terminal para baixar discretamente um arquivo DMG e iniciar o malware que ele contém.
Após a execução do comando, o ataque baixa um DMG malicioso de svs-verificationdate[.]beer usando curl com as flags silenciosas "-fsSL" e salva o arquivo na pasta /tmp com um nome aleatório.
Em seguida, o comando executa 'hdiutil attach -nobrowse' para montar a imagem de disco baixada sem exibi-la no Finder ou na área de trabalho.
O script então procura, até três níveis de diretório, o primeiro instalador disponível no formato .app ou .pkg.
Se encontrar algum, ele o inicia usando o comando open do macOS.
Os pesquisadores observaram o malware sendo distribuído como uma imagem de disco chamada "s.01M0td.dmg", que montava um volume contendo um pacote de aplicativo autoassinado chamado "NNApp.app".
Esse payload faz parte da família Atomic macOS Stealer, usada para roubar credenciais, histórico de navegação, tokens de autenticação e carteiras de criptomoedas de dispositivos infectados.
O stealer exibe um falso prompt de autenticação das Preferências do Sistema, pedindo que o usuário digite sua senha, o que permite ao malware capturá-la.
De acordo com os pesquisadores, o malware mira oito navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc e Yandex.
Ele rouba cookies, bancos de dados de login, informações de preenchimento automático, cartões de pagamento salvos e dados de perfis de navegador.
O stealer também ataca navegadores derivados do Firefox, incluindo LibreWolf, SeaMonkey, Tor Browser, Waterfox e Zen Browser, coletando as mesmas informações.
A Palo Alto informa que o malware procura e rouba dados de carteiras de criptomoedas, incluindo Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet e TonKeeper.
O malware também rouba dados do Telegram Desktop e do Discord, bancos de dados do Apple Notes, cookies do Safari, arquivos do banco de dados do Apple Keychain e documentos do usuário com as extensões PDF, TXT ou RTF.
Todos os dados coletados são então armazenados em um arquivo ZIP e enviados ao servidor do atacante, onde podem ser recuperados posteriormente.
Em um detalhe especialmente relevante, os pesquisadores descobriram que o malware substitui instalações legítimas do Ledger Live e do Trezor Suite por versões maliciosas, provavelmente para viabilizar o roubo de criptomoedas.
A campanha foi observada usando servidores de comando e controle em svs-verificationdate[.]beer e 196.251.107[.]171.
Como regra geral, os usuários devem sempre desconfiar quando sites instruem a abrir o Terminal e executar comandos.
Isso é ainda mais importante quando a orientação diz respeito à validação por CAPTCHA, correções no navegador ou outras etapas de solução de problemas.
Se você não entende 100% o que um comando faz, não o execute.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...