- Sophos alertou sobre várias campanhas ClickFix do macOS
- Ferramentas falsas de IA, conversas do ChatGPT e o site da Apple foram usados para espalhar o infostealer MacSync
- A variante mais recente usa carregadores, AppleScript e execução na memória para sigilo
Pesquisadores de segurança alertaram sobre um aumento contínuo nas campanhas de malware direcionadas a usuários do macOS, aproveitando anúncios maliciosos, serviços de hospedagem legítimos, personificação de marca, conversas falsas do ChatGPT e um pouco de engenharia social antiquada para infectar as vítimas.
De acordo com um novo relatório da Sophos, pelo menos três campanhas ClickFix diferentes foram veiculadas nos últimos três meses. ClickFix é um método popular em que criminosos apresentam aos usuários um problema falso e depois lhes oferecem uma solução, que vai desde um CAPTCHA falso até um documento “bloqueado”.
No entanto, “consertar” o problema requer a execução de um comando do Terminal que baixa e instala o infostealer MacSync.
O artigo continua abaixo
MacOS é um alvo frequente
Na primeira campanha, o “problema” foi instalar o navegador AI. Os usuários que pesquisassem uma palavra-chave específica veriam um anúncio no topo dos resultados de pesquisa do Google, o que os levaria a uma página falsa de download de navegador, hospedada em sites.google.com.
O site parece real e falsifica o ChatGPT Atlas da OpenAI, mas para baixá-lo, os usuários são instruídos a abrir o Terminal e colar um comando específico.
A segunda campanha é um pouco diferente, pois em vez de depender de um site, os ladrões criariam uma conversa no ChatGPT.
Cada conversa com a ferramenta possui um identificador único, podendo ser compartilhada com outras pessoas através da função “compartilhar”. Agora, os criminosos criariam uma conversa explicando como baixar “aplicativos de limpeza do sistema Mac” e ferramentas semelhantes, enganando as vítimas para que baixassem o infostealer. Eles então anunciam essa entrevista no Google para melhorar a legitimidade percebida.
A terceira campanha descrita no relatório da Sophos se faz passar por um site legítimo da Apple e oferece uma variante significativamente evoluída do infostealer MacSync. Ao contrário das campanhas anteriores, esta usa carregador como serviço de vários estágios, carregamento dinâmico de AppleScript e execução na memória para maximizar a furtividade e a persistência.
“O MacOS foi geralmente considerado como tendo um risco menor de infecção por malware em comparação com o Windows, devido a um conjunto nativo de recursos de segurança que forçou os agentes de ameaças a adotarem técnicas diferentes”, explicaram os pesquisadores.
“Esse não é o caso (e não é há muito tempo, como observamos em setembro de 2024). O malware comum agora está afetando regularmente os usuários do macOS, especialmente quando se trata de sequestradores, que constituem uma parte significativa de todas as detecções do macOS que vemos na telemetria. Esperamos que esta região do cenário de ameaças continue a evoluir. Continuaremos rastreando novas variantes, atualizando informações de proteção e detecção conforme apropriado, e atualizando informações sobre este aspecto do cenário de ameaças. Publicaremos pesquisas à medida que os dados estiverem disponíveis.”
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
