Em 11 de maio, a Cryptopolitan noticiou que a equipa de investigação de segurança da Microsoft Defender divulgou os resultados de uma investigação, tendo detetado que os atacantes, desde o final de 2025, publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium e Craft. O objetivo era induzir os utilizadores a executarem comandos maliciosos na consola (Terminal), levando à instalação de malware para roubar chaves de carteiras de criptomoedas, dados do iCloud e senhas guardadas nos navegadores.
Mecanismo do ataque: ClickFix contorna o Gatekeeper do macOS
De acordo com o relatório da equipa de investigação de segurança da Microsoft Defender, os atacantes recorreram a uma técnica de engenharia social chamada ClickFix: publicaram guias de resolução de problemas de macOS, disfarçados em plataformas como Medium, Craft e Squarespace, como “libertar espaço em disco” ou “corrigir erros do sistema”. As instruções levavam os utilizadores a copiar comandos maliciosos e colá-los no macOS Terminal; após a execução, o malware é descarregado e iniciado automaticamente.
Conforme o relatório da Microsoft, este método contorna o mecanismo de segurança do Gatekeeper no macOS, porque o Gatekeeper verifica assinaturas de código e validações notarizadas para aplicações executadas a partir do Finder, mas o modo como o utilizador executa comandos diretamente no Terminal não está sujeito a este passo de validação. Os investigadores também identificaram que os atacantes usam curl, osascript e outras ferramentas nativas do macOS para executar código malicioso “na memória” (ataque sem ficheiros), o que dificulta a deteção por ferramentas de antivírus convencionais.
Famílias de malware, âmbito do roubo e mecanismos especiais
De acordo com o relatório da Microsoft, esta campanha envolve três famílias de malware (AMOS, Macsync, SHub Stealer) e três tipos de instaladores (Loader, Script, Helper). Os dados visados incluem:
Chaves de carteiras de criptomoedas: Exodus, Ledger, Trezor
Credenciais de contas: iCloud, Telegram
Senhas guardadas em navegadores: Chrome, Firefox
Ficheiros e fotografias privadas: ficheiros locais com menos de 2 MB
Após a instalação, o malware apresenta falsas caixas de diálogo, pedindo ao utilizador que introduza a palavra-passe do sistema para instalar um “utilitário auxiliar”. Se o utilizador inserir a palavra-passe, o atacante obtém acesso completo aos ficheiros e às definições do sistema. O relatório da Microsoft salienta ainda que, em alguns casos, os atacantes eliminam aplicações legítimas como Trezor Suite, Ledger Wallet e Exodus e substituem-nas por versões com trojan, para monitorizar transações e roubar fundos. Além disso, os carregadores associados ao malware incluem um mecanismo de terminação: se detetar um layout de teclado em russo, o malware interrompe automaticamente a execução.
Atividades relacionadas e medidas de proteção da Apple
De acordo com a investigação de especialistas de segurança da ANY.RUN, o Lazarus Group lançou uma ação de pirataria denominada “Mach-O Man”, recorrendo a técnicas semelhantes às do ClickFix, através de convites para reuniões falsificados, com o objetivo de atingir empresas de tecnologia financeira e criptomoedas que têm o macOS como sistema operativo principal.
A Cryptopolitan também reportou que a organização norte-coreana de hackers Famous Chollima usa código gerado por IA para inserir pacotes maliciosos npm em projetos de transações de criptomoedas. O malware utiliza uma arquitetura de ofuscação em dupla camada para roubar dados das carteiras e informações confidenciais do sistema.
De acordo com a notícia, a Apple adicionou uma funcionalidade de proteção na versão macOS 26.4 que impede que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS.
Perguntas frequentes
A atividade de ataque a macOS ClickFix revelada pela Microsoft Defender começou quando e em que plataformas foi publicada?
De acordo com a equipa de investigação de segurança da Microsoft Defender e com a notícia da Cryptopolitan de 11 de maio de 2026, a campanha começou a ganhar tração no final de 2025. Os atacantes publicaram guias falsos de resolução de problemas de macOS em plataformas como Medium, Craft e Squarespace, com o objetivo de induzir utilizadores de Mac a executarem comandos maliciosos no Terminal.
Esta campanha de ataque atinge quais carteiras de criptomoedas e tipos de dados?
De acordo com o relatório da Microsoft, o malware envolvido (AMOS, Macsync, SHub Stealer) pode roubar chaves das carteiras de Exodus, Ledger e Trezor, dados das contas iCloud e Telegram, bem como nomes de utilizador e palavras-passe guardadas no Chrome e no Firefox.
Que medidas de proteção a Apple implementou para este tipo de ataque?
De acordo com a notícia, a Apple adicionou um mecanismo de proteção na versão macOS 26.4, impedindo que comandos assinalados como potencialmente maliciosos sejam colados no Terminal do macOS, para reduzir as probabilidades de sucesso de ataques de engenharia social do tipo ClickFix.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Contrato v1 da Huma Finance explorado na Polygon, perde 101,400 USDC
De acordo com a Foresight News, o contrato legado v1 da Huma Finance, implementado na Polygon, foi explorado por atacantes hoje, resultando numa perda de 101.400 USDC. O protocolo afirmou que os fundos dos utilizadores não foram afetados e que o seu token PST permanece sem impacto. O sistema v2 na Solana, um rebuild completo, não é vulnerável a esta exploração. A Huma Finance suspendeu totalmente as operações do v1, tal como tinha planeado anteriormente para encerrar as pools de liquidez legadas
GateNews37m atrás
A carteira Sigma de um trader voltou a ser drenada; uma segunda carteira esvaziada em seis meses, $200K foi perdida por outro utilizador
De acordo com a Odaily, a trader A (@missoralways) reportou que duas das suas carteiras ligadas à Sigma foram drenadas recentemente, assinalando a segunda tentativa de comprometimento da carteira no espaço de seis meses. A trader afirmou que tinha previamente guardado ativos de sete dígitos na Sigma sem problemas de segurança, mas ambos os drenamentos ocorreram quando os saldos das carteiras desceram abaixo de $10.000. Além disso, outro utilizador perdeu aproximadamente $200.000 em ativos em cir
GateNews4h atrás
A Arkham Intelligence revela que contas associadas a fraudes de investimento representam 49% dos crimes em criptomoedas, não pirataria, a 11 de maio
De acordo com a Arkham Intelligence, a 11 de maio a plataforma de analítica blockchain publicou um relatório que revela que a fraude de investimento representou 49% das perdas por crimes com criptomoedas em 2025. Citando os dados do FBI Internet Crime Complaint Center, o relatório afirma que as perdas por crimes relacionados com cripto nos Estados Unidos ultrapassaram 11 mil milhões de dólares em 2025. O relatório refere que o crime contra ativos digitais passou a abranger múltiplas formas, incl
GateNews6h atrás
SlowMist Descobre Extensão Maliciosa do Chrome MV3 que Atinge Utilizadores da Carteira TRON a 11 de Maio
De acordo com o sistema de monitorização de segurança MistEye da SlowMist, uma extensão maliciosa do Chrome MV3 está a visar utilizadores de carteiras TRON com ataques de phishing concebidos para roubar frases-semente, chaves privadas, ficheiros de keystore e palavras-passe. A extensão recorre a ofuscação Unicode e a personificação de marcas para se disfarçar como um plugin oficial e, em seguida, carrega uma página remota em iframe como popup após a instalação para enganar os utilizadores a intr
GateNews7h atrás
O Proxy do Treasury do Workspace da Ink Finance na Polygon foi atacado, com perdas de 140.000 dólares
De acordo com a ChainCatcher, o Workspace Treasury Proxy da Ink Finance na Polygon foi atacado há minutos, resultando em perdas de aproximadamente 140 mil dólares.
GateNews8h atrás
O atacante do TrustedVolumes transfere $278K em fundos roubados a 11 de maio
De acordo com a monitorização da PeckShield, o atacante do TrustedVolumes transferiu e branqueou 278.000 dólares em fundos roubados até 11 de maio. O atacante depositou 10,2 ETH (23.600 dólares) na Tornado Cash, converteu 110 ETH (250.000 dólares) para Bitcoin via THORChain e tentou depositar 0,5 ETH na Railgun antes de retirar. O TrustedVolumes sofreu uma perda total de aproximadamente 6,7 milhões de dólares no ataque de 7 de maio.
GateNews9h atrás
