Logo TecMundo
Segurança

Criminosos adotam Python para atacar Windows e Mac ao mesmo tempo

Relatório da Microsoft revela expansão de infostealers para macOS usando linguagens multiplataforma, explorando falsa sensação de segurança dos usuários Apple

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule04/02/2026, às 12:15

Cibercriminosos estão expandindo suas operações de roubo de informações para além do Windows e agora estão atacando usuários de macOS, o sistema operacional da Apple. A estratégia central desses atacantes envolve o uso de linguagens de programação multiplataforma, especialmente Python.

A Microsoft destaca que essa abordagem permite aos atacantes "reutilizar códigos e atingir ambientes heterogêneos com o mínimo de sobrecarga", ou seja, eles economizam tempo e esforço enquanto ampliam seu campo de ação.

smart_display

Nossos vídeos em destaque

Python é uma linguagem que funciona em diferentes sistemas operacionais sem necessitar de grandes modificações no código. Isso significa que os criminosos podem escrever um programa malicioso uma vez e adaptá-lo rapidamente para funcionar tanto no Windows quanto no macOS. 

Essa mudança é significativa porque o macOS sempre foi considerado mais seguro pela maioria das pessoas, criando uma falsa sensação de proteção.

Leia Mais
E-Fraud: hackers brasileiros usam IA para criar validador de cartões de crédito

ClickFix mudou o jogo

O ponto de entrada mais comum para esses novos ataques é por meio de anúncios maliciosos, uma técnica chamada malvertising. Os criminosos pagam para exibir anúncios no Google Ads que parecem completamente legítimos. 

Quando a vítima procura por aplicativos de produtividade, ferramentas de inteligência artificial ou editores de PDF, esses anúncios aparecem nos primeiros resultados. Ao clicar, o alvo é redirecionado para um site falso que imita perfeitamente o site oficial do software que ele procurava.

Aqui entra uma técnica chamada ClickFix. Nesses sites falsos, a vítima encontra instruções que parecem resolver algum problema técnico ou oferecem o download do software. As instruções frequentemente pedem que a vítima copie e cole comandos específicos no Terminal do macOS. 

O Terminal é uma interface de linha de comando que permite executar instruções diretamente no sistema operacional, com privilégios elevados. Quando a vítima cola e executa esses comandos pensando que está instalando um software legítimo, na verdade está dando permissão para o malware se instalar no computador.

Leia Mais
29 extensões do Chrome roubam usuários em golpe coordenado

Extração de dados é o objetivo

Os arquivos maliciosos geralmente vêm como instaladores DMG, que são arquivos de imagem de disco específicos do macOS, o equivalente aos arquivos executáveis .exe no Windows.

Esses instaladores contêm diferentes famílias de malware especializadas em roubo de informações, com nomes como Atomic macOS Stealer (AMOS), MacSync e DigitStealer. 

Cada uma dessas famílias tem características específicas, mas todas compartilham o objetivo principal de extrair dados valiosos do seu sistema.

O que torna esses ataques particularmente sofisticados é o uso de técnicas que exploram funcionalidades legítimas do macOS. A execução sem ficheiros, por exemplo, significa que o malware opera diretamente na memória do computador sem necessariamente gravar arquivos suspeitos no disco rígido, tornando sua detecção muito mais difícil. 

Leia Mais
Pesquisadores descobrem 175 mil servidores de IA acessíveis na internet sem qualquer proteção

Os atacantes também utilizam utilitários nativos do macOS, que são ferramentas já presentes no sistema operacional, e AppleScript, uma linguagem de automação da Apple que permite controlar aplicativos e funções do sistema. Como essas ferramentas são legítimas e esperadas no macOS, softwares antivírus têm dificuldade em identificar quando estão sendo usadas maliciosamente.

O malware busca credenciais de navegadores web, que incluem seus nomes de usuário e senhas salvos para sites diversos. Os dados de sessão e cookies são igualmente importantes porque permitem que os criminosos assumam suas sessões ativas em sites sem precisar de senha, fazendo-se passar pela vítima. 

O iCloud Keychain, que é o gerenciador de senhas integrado da Apple, também é visado, pois contém todas as credenciais que você armazenou de forma centralizada. Para desenvolvedores, a situação é ainda mais crítica, pois os atacantes buscam tokens de API, chaves de acesso a serviços cloud e outros segredos que podem comprometer não apenas contas pessoais, mas sistemas empresariais inteiros.

Ferramentas de persistência também mudam

Uma vez instalado, o malware precisa garantir sua permanência no sistema, o que chamamos de persistência. No Windows, isso é feito através de chaves de execução do registro ou tarefas agendadas, mecanismos que fazem o malware iniciar automaticamente sempre que o computador liga. No macOS, técnicas equivalentes envolvem modificar listas de propriedades (plists) ou criar agentes de lançamento.

Leia Mais
Malware disfarçado de Clawdbot é encontrado em distribuição para VS Code

A comunicação entre o malware e os criminosos acontece através de canais que parecem completamente normais. O Telegram, um aplicativo de mensagens popular e criptografado, é frequentemente usado tanto para comando e controle quanto para exfiltração de dados.

Comando e controle significa que os atacantes podem enviar instruções para o malware instalado no seu computador, como "roube esse tipo de arquivo" ou "execute essa ação". A exfiltração é o processo de enviar os dados roubados de volta para os criminosos. Usando o Telegram, essas comunicações se misturam ao tráfego normal da internet, dificultando a detecção.

WhatsApp como canal de ataque

A Microsoft também menciona campanhas que usam o WhatsApp para distribuir malware como o Eternidade Stealer. Nesse caso, mensagens aparentemente de contatos conhecidos ou de grupos podem conter links ou arquivos que, quando abertos, instalam o malware. 

Esse tipo de ataque funciona porque a maioria das pessoas confia em mensagens recebidas pelo WhatsApp, especialmente se vierem de contatos conhecidos cujas contas foram previamente comprometidas.

Leia Mais
Diretor de cibersegurança dos EUA é pego subindo arquivos secretos no ChatGPT

Outro vetor de ataque envolve editores de PDF falsos, como o Crystal PDF. Novamente usando malvertising e uma técnica chamada SEO envenenado, onde os criminosos manipulam resultados de busca do Google para fazer sites maliciosos aparecerem nos primeiros lugares quando você procura por "editor de PDF gratuito" ou termos similares. 

Ao baixar e instalar esses programas, a vítima está na verdade instalando um infostealer que coleta sistematicamente dados dos navegadores Firefox e Chrome.

Consequências para empresas e usuários

As consequências desses ataques vão muito além do roubo de senhas pessoais. Quando credenciais corporativas são roubadas, criminosos podem acessar sistemas internos de empresas, ler e-mails confidenciais, e até realizar ataques de BEC, que significa Business Email Compromise ou comprometimento de e-mail corporativo. 

Nesses ataques, os criminosos se passam por executivos ou fornecedores para solicitar transferências bancárias fraudulentas. Os dados roubados também podem servir como ponto de entrada para ataques à cadeia de suprimentos, onde os criminosos comprometem uma empresa menor para depois atacar seus clientes maiores. 

Leia Mais
Nenhuma senha está segura contra ameaças quânticas, alerta NordVPN

No pior cenário, essas informações podem facilitar ataques de ransomware, onde os sistemas são criptografados e um resgate é exigido.

Como se proteger

Para se proteger, a Microsoft recomenda várias medidas práticas. 

  • Educação é fundamental: entender como funcionam anúncios maliciosos, reconhecer instaladores falsos e desconfiar de qualquer instrução que peça para você copiar e colar comandos no Terminal;
  • Monitorar atividades suspeitas no Terminal também é recomendado, pois seu uso frequente pode indicar comprometimento; 
  • Acessos ao iCloud Keychain também devem ser monitorados, já que não há razão legítima para aplicativos aleatórios acessarem esse repositório de senhas;
  • Analisar o tráfego de rede em busca de requisições POST para domínios recém-registrados ou suspeitos pode identificar exfiltração de dados em andamento.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 22 horas
Robô Aspirador e Passa Pano KaBuM! Smart 900
54% off

Oferta

Robô Aspirador e Passa Pano KaBuM! Smart 900

R$ 1.349,90

Eletro magazineluiza.com.brnew_releases
Smart TV HQ 50" UHD HQS50NKHM
15% off

Descontaço

Smart TV HQ 50" UHD HQS50NKHM

R$ 1.602,58

TV magazineluiza.com.brnew_releases
Smart TV 55" TCL 4K UHD QLED 55P7K
63% off

Telona

Smart TV 55" TCL 4K UHD QLED 55P7K

R$ 2.279,05

TV magazineluiza.com.brnew_releases
Micro-ondas Midea MRAS22, 20L
40% off

Imperdível

Micro-ondas Midea MRAS22, 20L

R$ 358,32

Eletro amazon.com.brnew_releases
Máquina de Lavar Consul CWK18AB, 18Kg
17% off

Espaçosa!

Máquina de Lavar Consul CWK18AB, 18Kg

R$ 1.989,00

Eletro amazon.com.brnew_releases
Smart TV 32" LED Weyon 32wdsnbx
19% off

Oferta

Smart TV 32" LED Weyon 32wdsnbx

R$ 725,80

TV amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA