Em 11 de maio, a Cryptopolitan noticiou que a equipa de investigação de segurança da Microsoft Defender divulgou os resultados de uma investigação, tendo detetado que os atacantes, desde o final de 2025, publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium e Craft. O objetivo era induzir os utilizadores a executarem comandos maliciosos na consola (Terminal), levando à instalação de malware para roubar chaves de carteiras de criptomoedas, dados do iCloud e senhas guardadas nos navegadores.
Mecanismo do ataque: ClickFix contorna o Gatekeeper do macOS
De acordo com o relatório da equipa de investigação de segurança da Microsoft Defender, os atacantes recorreram a uma técnica de engenharia social chamada ClickFix: publicaram guias de resolução de problemas de macOS, disfarçados em plataformas como Medium, Craft e Squarespace, como “libertar espaço em disco” ou “corrigir erros do sistema”. As instruções levavam os utilizadores a copiar comandos maliciosos e colá-los no macOS Terminal; após a execução, o malware é descarregado e iniciado automaticamente.
Conforme o relatório da Microsoft, este método contorna o mecanismo de segurança do Gatekeeper no macOS, porque o Gatekeeper verifica assinaturas de código e validações notarizadas para aplicações executadas a partir do Finder, mas o modo como o utilizador executa comandos diretamente no Terminal não está sujeito a este passo de validação. Os investigadores também identificaram que os atacantes usam curl, osascript e outras ferramentas nativas do macOS para executar código malicioso “na memória” (ataque sem ficheiros), o que dificulta a deteção por ferramentas de antivírus convencionais.
Famílias de malware, âmbito do roubo e mecanismos especiais
De acordo com o relatório da Microsoft, esta campanha envolve três famílias de malware (AMOS, Macsync, SHub Stealer) e três tipos de instaladores (Loader, Script, Helper). Os dados visados incluem:
Chaves de carteiras de criptomoedas: Exodus, Ledger, Trezor
Credenciais de contas: iCloud, Telegram
Senhas guardadas em navegadores: Chrome, Firefox
Ficheiros e fotografias privadas: ficheiros locais com menos de 2 MB
Após a instalação, o malware apresenta falsas caixas de diálogo, pedindo ao utilizador que introduza a palavra-passe do sistema para instalar um “utilitário auxiliar”. Se o utilizador inserir a palavra-passe, o atacante obtém acesso completo aos ficheiros e às definições do sistema. O relatório da Microsoft salienta ainda que, em alguns casos, os atacantes eliminam aplicações legítimas como Trezor Suite, Ledger Wallet e Exodus e substituem-nas por versões com trojan, para monitorizar transações e roubar fundos. Além disso, os carregadores associados ao malware incluem um mecanismo de terminação: se detetar um layout de teclado em russo, o malware interrompe automaticamente a execução.
Atividades relacionadas e medidas de proteção da Apple
De acordo com a investigação de especialistas de segurança da ANY.RUN, o Lazarus Group lançou uma ação de pirataria denominada “Mach-O Man”, recorrendo a técnicas semelhantes às do ClickFix, através de convites para reuniões falsificados, com o objetivo de atingir empresas de tecnologia financeira e criptomoedas que têm o macOS como sistema operativo principal.
A Cryptopolitan também reportou que a organização norte-coreana de hackers Famous Chollima usa código gerado por IA para inserir pacotes maliciosos npm em projetos de transações de criptomoedas. O malware utiliza uma arquitetura de ofuscação em dupla camada para roubar dados das carteiras e informações confidenciais do sistema.
De acordo com a notícia, a Apple adicionou uma funcionalidade de proteção na versão macOS 26.4 que impede que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS.
Perguntas frequentes
A atividade de ataque a macOS ClickFix revelada pela Microsoft Defender começou quando e em que plataformas foi publicada?
De acordo com a equipa de investigação de segurança da Microsoft Defender e com a notícia da Cryptopolitan de 11 de maio de 2026, a campanha começou a ganhar tração no final de 2025. Os atacantes publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium, Craft e Squarespace, com o objetivo de induzir utilizadores de Mac a executarem comandos maliciosos no Terminal.
Esta campanha de ataque atinge quais carteiras de criptomoedas e tipos de dados?
De acordo com o relatório da Microsoft, o malware envolvido (AMOS, Macsync, SHub Stealer) pode roubar chaves das carteiras de Exodus, Ledger e Trezor, dados das contas iCloud e Telegram, bem como nomes de utilizador e palavras-passe guardadas no Chrome e no Firefox.
Que medidas de proteção a Apple implementou para este tipo de ataque?
De acordo com a notícia, a Apple adicionou um mecanismo de proteção na versão macOS 26.4, impedindo que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS, para reduzir as probabilidades de sucesso de ataques de engenharia social do tipo ClickFix.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
