Ao monitorar uma campanha ClickFix direcionada a usuários de macOS reportada anteriormente, pesquisadores do Netskope Threat Labs identificaram uma nova variante mais sofisticada da ameaça. Enquanto as versões anteriores tinham como principal objetivo o roubo de senhas e outras informações sensíveis em computadores Mac, a nova campanha incorpora um trojan de acesso remoto (RAT), permitindo que invasores mantenham acesso persistente aos dispositivos comprometidos e executem comandos remotamente.
CONTEÚDO RELACIONADO – Netskope lança programa de parceiros para acelerar receita de MSPs
Segundo a análise, a campanha utiliza uma cadeia de infecção totalmente fileless, dificultando sua detecção por ferramentas tradicionais de segurança. A infecção começa quando a vítima é induzida a executar um comando no terminal do macOS por meio de técnicas de engenharia social. A partir daí, o malware é executado diretamente na memória do sistema e passa a coletar senhas, cookies de sessão, dados de navegadores e informações armazenadas no Keychain do macOS.
Além do roubo de informações, a nova variante estabelece mecanismos de persistência que permitem a comunicação contínua com servidores controlados pelos invasores. Os pesquisadores também identificaram funcionalidades voltadas ao comprometimento de aplicativos de carteiras de criptomoedas, incluindo a substituição de componentes legítimos por versões adulteradas.
Para o Netskope Threat Labs, a descoberta evidencia uma mudança importante na evolução das campanhas ClickFix. O que antes era utilizado principalmente para o roubo de informações agora pode servir como porta de entrada para comprometimentos mais amplos, com a possibilidade de manter acesso aos dispositivos mesmo após a exfiltração inicial dos dados.
A recomendação é que empresas reforcem a proteção contra páginas falsas, bloqueiem domínios maliciosos e eduquem usuários para nunca executar comandos copiados de sites ou supostos alertas de suporte técnico. Também é essencial ampliar a visibilidade sobre comportamentos suspeitos em dispositivos macOS, especialmente quando há execução de scripts, coleta de credenciais ou comunicação recorrente com infraestrutura externa.
Veja mais detalhes em: https://www.netskope.com/blog/macos-clickfix-lures-deploy-applescript-stealer-persistent-rat
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn, X e WhatsApp