Há apenas alguns anos, pensar no macOS como uma plataforma relativamente segura frente ao malware era quase uma certeza para muitos usuários. Hoje essa percepção está sendo desafiada por famílias de software malicioso conhecidas como infostealers, cujo objetivo não é tanto destruir equipamentos como expressá-los para extrair informações valiosas e transformá-la em dinheiro rápido em mercados clandestinos. Um exemplo recente e especialmente ilustrativo é o infostealer conhecido como AMOS, que evoluiu de uma ferramenta anunciada em fóruns da dark web para um componente reutilizável dentro de uma economia criminosa muito mais ampla.
Os infostealers não funcionam como um simples “vírus”: atuam como extratores automatizados de credenciais, sessões ativas, carteiras de criptomoedas e documentos sensíveis. Uma vez executados em uma máquina vítima, percorrem navegadores, armazenamentos de credenciais do sistema, aplicativos de mensagens, chaveiros e arquivos locais para coletar tudo o que tem valor para um atacante. Essa base de dados roubada não é o fim do processo, mas a matéria-prima: os registros resultantes — o que a indústria chama de "stealer logs" — são vendidos ou trocados em mercados clandestinos e canais fechados, onde diferentes atores os usam para tomar o controle de contas, esvaziar carteiras ou abrir acessos iniciais para operações posteriores.
O caso de AMOS serve como uma radiografia de como estas ameaças funcionam hoje. Desde sua primeira aparição em fóruns do Telegram, seu kit foi oferecido como um serviço com painéis de gestão, envio de logs pelo Telegram e opções de pagamento em criptomoedas. Com o tempo, desenvolvedores e afiliados ajustaram sua oferta e tornaram-se um serviço que outros criminosos podem contratar para propagar o malware, enquanto compradores especializados compram os registros para executar fraudes ou acessos a redes corporativas. Essa fragmentação do trabalho — que nos desenvolvem, outros distribuem e outros monetizam — é uma das razões pelas quais essas campanhas se tornaram tão escalável.
O que torna AMOS e campanhas semelhantes particularmente perigosas não é tanto uma sofisticação técnica extrema, mas a capacidade de explorar a confiança humana e os canais legítimos. Nos últimos meses, vimos uma série de táticas que o confirmam: desde repositórios falsos em plataformas de desenvolvimento que replicam instaladores legítimos e aparecem em resultados de busca, até a inserção de “habilidades” maliciosas em mercados de extensões para assistentes pessoais de IA. Em um dos desenhos mais engenhosos, os atacantes publicam supostos complementos úteis — por exemplo, ferramentas para produtividade, integrações com serviços ou utilitários para criptomoedas — que na realidade descarregam e executam o infostealer quando o usuário aceita a instalação. Quando os mercados e as lojas não têm controlos rigorosos de revisão, esses vetores tornam-se canais de distribuição em massa.
Outro método que demonstrou ser eficaz é o chamado "ClickFix" ou execução por instruções: páginas que aparentam guias legítimos induzem a vítima a colar uma linha de Terminal ou arrastar um arquivo para executar um instalador. No macOS, onde muitos usuários assumem que executar comandos é coisa de desenvolvedores, esse truque é especialmente perigoso. Os atacantes também recorrem a SEO poisoning e malvertising para posicionar links maliciosos em pesquisas pagas ou resultados orgânicos, de modo que alguém que busca uma aplicação popular termine em um site que oferece um instalador comprometido.
A atenção mediática para a instrumentação de ecossistemas da IA não é gratuita: em dezembro de 2025, foi detectada uma campanha que utilizava a função de “chats compartilhados” de plataformas de IA para alojar instruções de instalação enganosas em domínios de confiança, um vetor que foi documentado publicamente por pesquisadores como os de Huntress ( Relatório de Huntress). Mais recentemente, pesquisas sobre AMOS mostraram como podem ser envenenados mercados de skills de assistentes pessoais para comprometer usuários que instalam extensões aparentemente úteis – uma forma moderna de abuso da cadeia de fornecimento de software.
Por trás destas campanhas há uma economia organizada. O modelo de Malware-as-a-Service permite que os operadores ofereçam infostealers por assinatura, e a compradores posteriores adquirirem registos específicos segundo o seu interesse: acessos a contas de e-mail corporativo, sessões de navegador ativas, chaves SSH ou informação de carteiras. Esses “stealer logs” se tornam mercadoria que percorre fóruns e canais, e o valor depende da qualidade e da utilidade dos dados. Pesquisadores e provedores de inteligência em cibersegurança seguem e categorizam essas trocas precisamente porque antecipar a revenda de credenciais permite mitigar ataques de tomada de contas antes que se materializem.
O que os usuários e as organizações podem fazer para reduzir esse risco? Primeiro, desconfiar de atalhos que prometem rapidez: evitar colar comandos em Terminal sem verificar a fonte e preferir instaladores distribuídos através de canais oficiais. Nem toda extensão ou skill é o que parece, e a popularidade de uma ferramenta não garante que cada complemento em seu marketplace seja seguro. Em ambientes corporativos, aplicar políticas de gestão de endpoints e controle de aplicativos -bloquear instalações não autorizadas, limitar privilégios administrativos e exigir revisões de software - reduz a superfície de ataque. A autenticação multifator é outra barreira crítica; sempre que possível, priorizar fatores resistentes a phishing como chaves físicas (FIDO2) ou soluções baseadas em hardware em vez de SMS ou códigos por correio.
Para equipes de segurança, monitorar sinais fora do perímetro é cada vez mais importante. Ferramentas e serviços que rastreiam o aparecimento de credenciais ou sessões em mercados clandestinos oferecem um alerta precoce para rotar senhas comprometidas, forçar sessões a fechar ou aplicar mitigações de acesso condicional. Também é chave para a detecção em endpoints para identificar comportamentos típicos de infostealers — busqueda massiva de arquivos sensíveis, extração de chaveiros ou leitura de perfis de navegador — e combinar com telemetria de rede para bloquear exfiltração. Organizações como Flare publicam relatórios e serviços de monitoramento que exemplificam essa abordagem ( Relatório sobre exposição de identidades 2026), e há recursos públicos para entender a economia por trás do malware ( análise do modelo MaaS).
Não há soluções mágicas: a ameaça evolui tão rápido quanto as técnicas para distribuí-la. Por isso a defesa é multifacetada e requer combinar educação de usuários (não executar comandos desconhecidos, verificar origens), controles técnicos (gestão de adesivos, detecção em endpoints, MFA robusta) e visibilidade da ameaça fora do ambiente — monitoramento de credenciais e sessões na dark web, e colaboração com provedores de inteligência. Ferramentas de reputação e controle em marketplaces e repositórios devem melhorar, mas enquanto tanto a responsabilidade pela prevenção recai em grande medida na prudência tecnológica das organizações e usuários.
Se você procura aprofundar, além dos estudos de assinaturas de inteligência especializada, convém revisar análises técnicas e recomendações públicas sobre desaparecimento de credenciais e abuso de cadeias de fornecimento em plataformas como o GitHub ( Blog de segurança do GitHub) e usar recursos para verificar se suas contas foram filtradas, como Have I Been Pwned. Manter-se informado e aplicar boas práticas básicas reduz a probabilidade de ser a próxima vítima que alimenta este lucrativo mercado subterrâneo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...