Um novo malware do tipo infostealer, chamado 'Shamos', está atacando dispositivos Mac por meio de ataques do tipo ClickFix, que se disfarçam como guias e soluções de problemas falsas.
Esse malware, uma variante do Atomic macOS Stealer (AMOS), foi desenvolvido pelo grupo cibercriminoso "COOKIE SPIDER" e tem como objetivo roubar dados e credenciais armazenados em navegadores web, itens do Keychain, Apple Notes e carteiras de criptomoedas.
A CrowdStrike, que detectou o Shamos, informa que o malware tentou infectar mais de trezentos ambientes ao redor do mundo monitorados pela empresa desde junho de 2025.
As vítimas são atraídas através de malvertising ou repositórios falsos no GitHub que utilizam ataques ClickFix, nos quais os usuários são induzidos a executar comandos shell no Terminal do macOS.
Os criminosos solicitam que os usuários rodem esses comandos para instalar softwares ou corrigir erros falsos, porém, ao serem executados, os comandos na verdade baixam e executam o malware no dispositivo.
Os anúncios ou páginas falsas (mac-safer[.]com, rescue-mac[.]com) afirmam oferecer ajuda para problemas comuns do macOS e contêm instruções que orientam a copiar e colar o comando para resolver a questão.
Ao invés de solucionar qualquer problema, o comando decodifica uma URL codificada em Base64 e baixa um script Bash malicioso de um servidor remoto.
Esse script captura a senha do usuário, faz o download do executável Shamos no formato mach-O e prepara a execução do malware usando os comandos 'xattr' (que remove a flag de quarentena) e 'chmod' (que torna o binário executável) para contornar o Gatekeeper.
Uma vez executado no dispositivo, o Shamos dispara comandos anti-VM para verificar se não está rodando em um sandbox, seguido de comandos AppleScript para reconhecimento do host e coleta de dados.
O malware busca informações sensíveis na máquina, incluindo arquivos de carteiras de criptomoedas, dados do keychain, informações do Apple Notes e dados armazenados no navegador da vítima.
Após coletar tudo, o Shamos empacota os arquivos em um arquivo chamado 'out.zip' e os envia para o invasor utilizando o curl.
Nos casos em que o malware é executado com privilégios sudo, ele também cria um arquivo Plist (com.finder.helper.plist) no diretório LaunchDaemons do usuário, garantindo persistência por meio da execução automática na inicialização do sistema.
A CrowdStrike ainda relata que o Shamos pode baixar payloads adicionais no diretório home da vítima, e observou casos em que os invasores deixaram uma versão falsificada do Ledger Live e um módulo de botnet.
Usuários de macOS são aconselhados a nunca executarem comandos encontrados na internet sem compreender completamente sua função.
O mesmo vale para repositórios no GitHub, que infelizmente hospedam diversos projetos maliciosos destinados a infectar usuários desavisados.
Ao enfrentar problemas no macOS, é recomendável evitar resultados patrocinados em buscas e buscar auxílio nos fóruns Apple Community, que são moderados pela Apple, ou na ajuda incorporada do sistema (Cmd + Espaço → "Help").
Os ataques ClickFix se tornaram uma tática amplamente utilizada para distribuir malware, sendo aplicados em vídeos no TikTok, camuflados como captchas ou como soluções para erros falsos do Google Meet.
Essa técnica é tão eficaz na disseminação de malware que já foi empregada em ataques de ransomware e até por agentes patrocinados por estados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...