Logo TecMundo
Segurança

Operações criminosas manipulam usuários para instalar vírus em Macs

Pesquisadores registraram mais de 29 mil interações em uma única etapa do ataque. Na versão mais recente, o malware substituía aplicativos legítimos para roubar carteiras de criptomoedas sem deixar rastros no disco.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule16/03/2026, às 14:10

updateAtualizado em 16/03/2026, às 14:21

Pesquisadores identificaram três campanhas distintas que usaram uma técnica chamada ClickFix para enganar usuários de macOS. Entre novembro de 2025 e fevereiro de 2026, o objetivo dos criminosos era fazer as vítimas instalarem um programa malicioso chamado MacSync

A técnica não explora falhas no sistema, mas convence a própria vítima a executar o ataque. Mais de 29 mil interações foram registradas apenas na segunda campanha.

smart_display

Nossos vídeos em destaque

O que é o ClickFix

O ClickFix é uma técnica de engenharia social, nome dado a métodos que manipulam psicologicamente uma pessoa. O objetivo é desestabilizar vítimas, geralmente por meio de urgência ou medo, para que ela tome uma ação prejudicial por conta própria

No caso do ClickFix, a vítima é induzida a abrir o terminal do computador e executar um comando malicioso. O terminal é uma interface de texto que permite enviar instruções diretamente ao sistema operacional. Quando a vítima executa o comando, ela mesma instala o malware.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Esse contexto torna o ClickFix especialmente difícil de conter. Tecnologias modernas de segurança, como o padrão FIDO2, protegem contra o roubo de senhas de login. Mas elas não têm como impedir que uma pessoa execute um comando no próprio computador.

O malware instalado nessas campanhas se chama MacSync. Ele é classificado como infostealer, que coleta silenciosamente informações sensíveis do dispositivo da vítima e as envia para os atacantes.

Novembro de 2025: a isca do ChatGPT

A primeira campanha usou o nome do ChatGPT como isca. Quando a vítima buscava por "chatgpt atlas" no Google, o primeiro resultado exibido era um anúncio pago pelos próprios atacantes – ele aparecia acima do site legítimo.

O link levava a um site falso hospedado no [sites.google.com], o que dá uma aparência de confiabilidade para a página. Ao clicar no botão de download, a vítima não recebia um arquivo, mas instruções para abrir o terminal e executar um comando.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

O comando estava ofuscado, efeito parte de uma técnica que embaralha o código para esconder o que ele realmente faz. Quando decodificado, ele baixava e executava um script Bash. Esse script pedia a senha da vítima e instalava o MacSync com as permissões do usuário.

Dezembro de 2025: a conversa que virou armadilha

A segunda campanha manteve os anúncios pagos no Google, mas mudou o destino do clique. Em vez de um site falso, a vítima era levada a uma conversa real hospedada no próprio site do ChatGPT. A conversa parecia um guia útil, com dicas para limpar o Mac ou instalar ferramentas populares.

Dentro da conversa havia links. Eles levavam a páginas falsas com visual inspirado no GitHub, uma plataforma legítima muito usada por desenvolvedores. A interface imitava um processo de instalação e trazia mensagens como "para usuários experientes". Essa frase é uma técnica de manipulação: “ela incentiva a vítima a prosseguir para não parecer incapaz”.

Ao executar o comando apresentado nessa interface, a vítima desativava duas camadas de proteção nativa do macOS. O Gatekeeper verifica se um aplicativo vem de um desenvolvedor confiável antes de permitir sua execução. O XProtect é o antivírus embutido da Apple. Como o comando era executado manualmente no terminal, o sistema entendia que a ação era deliberada e autorizava tudo.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Os pesquisadores descobriram que as páginas maliciosas enviavam dados para um servidor dos atacantes em tempo real. Cada vez que a vítima clicava em "copiar" o comando, o sistema registrava o endereço IP dela, sua localização e o horário da visita

Essas informações eram enviadas automaticamente para um bot no Telegram controlado pelos criminosos. Telegram é um aplicativo de mensagens. O bot funcionava como um painel de monitoramento da campanha.

Ao consultar esses registros, os pesquisadores conseguiram dimensionar o ataque. Apenas entre os domínios rastreados, foram contabilizadas mais de 29 mil interações até 22 de dezembro de 2025. Strings de código encontradas nos servidores sugeriam que os operadores pertenciam a um ecossistema de língua russa.

Fevereiro de 2026: ataque aprende com os anteriores

A campanha mais recente é a mais sofisticada das três. O ponto de entrada continuou sendo o ClickFix, desta vez com uma página imitando o site oficial da Apple. Mas tudo que acontece depois do clique mudou.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

Após executar o comando, o computador da vítima baixava um loader. Um loader é um programa inicial cujo único propósito é preparar o terreno para o malware principal. Esse loader chegava codificado e comprimido, o que dificultava a análise por ferramentas de segurança.

Uma novidade dessa versão era o uso de chaves de API para autenticar cada vítima no servidor dos atacantes. Uma chave de API funciona como uma senha única que identifica quem está fazendo uma requisição. 

Sem ela, o servidor não entregava o malware. Isso impedia que pesquisadores baixassem o conteúdo em massa para analisá-lo.

O malware operava completamente em silêncio. Toda a sua atividade era redirecionada para um destino especial do sistema que descarta qualquer informação, tornando a execução invisível para a vítima. 

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

O payload, que é a parte do malware responsável pela coleta de dados, funcionava inteiramente na memória do computador – sem gravar arquivos no disco. A maioria dos antivírus monitora arquivos gravados em disco. Ao operar só na memória, o malware reduzia as chances de ser detectado.

A coleta de dados era extensa. O infostealer extraía senhas salvas, cookies e histórico de navegadores como Chrome e Firefox. Tentava obter a senha do macOS por múltiplos métodos, incluindo uma janela falsa imitando o sistema operacional. 

Copiava arquivos sensíveis das pastas de desktop e documentos. Extraía chaves SSH, que são usadas para acesso a servidores remotos, e credenciais de serviços de computação em nuvem.

O ataque mais sofisticado era direcionado ao Ledger Live, um aplicativo para gerenciar carteiras de criptomoedas. O malware localizava o aplicativo no computador da vítima e substituía seu código interno por uma versão maliciosa. 

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília

Essa versão continha lógica para capturar a seed phrase da carteira. Uma seed phrase é uma sequência de palavras que funciona como a chave mestra de uma carteira de criptomoedas.

Quem a possui pode recriar a carteira em qualquer dispositivo e transferir todos os fundos imediatamente. Para não levantar suspeitas, o aplicativo continuava funcionando normalmente após a substituição.

O que mudou no cenário

Durante anos prevaleceu a ideia de que o macOS era inerentemente mais seguro que o Windows. O sistema da Apple possui proteções nativas robustas que forçavam os atacantes a adotar técnicas mais complexas – mas esse cenário mudou.

Infostealers afetam usuários de macOS de forma rotineira hoje. Eles representam uma fração significativa de todas as detecções de malware nessa plataforma. E as três campanhas descritas aqui mostram que os atacantes estão aprendendo ativamente com cada rodada.

Leia Mais
Vírus 'desperta' na Wikipédia e vandaliza milhares de páginas em 23 minutos

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 4 horas
Caixa de som JBL Boombox 3
44% off

Imperdível!

Caixa de som JBL Boombox 3

R$ 1.799,00

Áudio mercadolivre.com.brnew_releases
Headphone JBL Tune 520BT
35% off

Aproveite!

Headphone JBL Tune 520BT

R$ 195,00

Áudio amazon.com.brnew_releases
Smartphone Samsung Galaxy S24 Ultra, 256GB
51% off

Cupom TELEFONIA500

Smartphone Samsung Galaxy S24 Ultra, 256GB

R$ 4.899,10

Celulares amazon.com.brnew_releases
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA