Pesquisadores de segurança documentaram uma nova campanha dirigida a usuários do macOS que combina uma engenharia social convincente com uma técnica de empacotamento que complica a análise forense. O ator por trás desta operação distribui uma informação-ladrona batizado como Infinity Stealer e aproveita uma armadilha visual que imita os ecrãs de verificação humana para empurrar a vítima para executar código em Terminal.
A porta de entrada do ataque é um site que finge ser o passo de validação humano (algo que muitos serviços, como Cloudflare, usam legitimamente). Em vez de forçar o navegador a resolver um desafio gráfico, a web pede que copie e cole em Terminal um comando curl codificado em base64. Esse único gesto, aparentemente inocuo para quem confia na falsa verificação, decifra e lança uma sequência de bash que descarrega e escreve um segundo componente em /tmp, anula a bandeira de quarentena do arquivo e o executa em segundo plano. O resultado é que o sistema salta as proteções de usuário e arranca uma cadeia de estágios maliciosas sem interação adicional.
O que distingue esta campanha Não é apenas o truque visual, conhecido na pesquisa como ClickFix, mas como é construído o payload principal: trata-se de código Python compilado com o projeto de código aberto Nuitka. Ao contrário de utilitários como o PyInstaller, que empacote o intérprete e o bytecode Python em um contentor reconhecível, Nuitka converte o código Python para C e gera um binário nativo. Isso produz um executável Mach-O real que resulta muito mais resistente às técnicas clássicas de análise estática e complica a engenharia inversa.
As conclusões técnicas publicadas pelos analistas que investigaram a campanha oferecem detalhes preocupantes. O carregador inicial compilado com o Nuitka é um binário de vários megabytes que contém um grande arquivo comprimido com zstd; dentro se encontra a etapa final do infostealer. Antes de começar a coletar informações, o malware realiza uma série de verificações para identificar se está sendo executado em um ambiente virtualizado ou em sandbox, o que lhe permite evitar análises automatizadas e ambientes de pesquisa.
Uma vez implantado, o componente Python (corndo sobre Python 3.11 nos casos analisados) inclui capacidades típicas dos roedores de credenciais: captura de ecrãs, extração de credenciais de navegadores baseados em Chromium e Firefox, exfiltração de entradas do chaveiro do macOS, localização de wallets de criptomoedas e busca de segredos em arquivos de desenvolvimento como .env. Tudo o que foi coletado é enviado para o servidor de comando e controle mediante pedidos de HTTP POST e, além disso, os operadores recebem uma notificação pelo Telegram quando a operação termina, aproveitando a API de bots dessa plataforma.
O próprio relatório técnico que descreve a campanha sublinha que, até onde as observações chegam, é a primeira campanha documentada que combina a entrega por ClickFix com um infostealer escrito em Python e compilado com Nuitka no macOS. Essa conjunção de engenharia social e empacotamento nativo implica um avanço na capacidade dos atacantes para contornar deteções tradicionais e retardar o trabalho das equipes de resposta.
Por que Nuitka complica a detecção? Porque deixa menos sinais típicos de malware Python: não há uma camada óbvia de bytecode que ferramentas e analistas buscam para desvendar a lógica; em seu lugar aparece um binário nativo que, ao nível de assinatura e estrutura, parece-se muito mais a uma aplicação legítima. Se a isso se somar a ofuscação em múltiplas etapas (arquivos comprimidos dentro do executável, uso de variáveis de ambiente para passar tokens, eliminação de rastros quando conclui a execução), a tarefa de inteligência e análise manual torna-se muito mais laboriosa.
Se você quer ler a análise técnica original e os indicadores coletados pelos pesquisadores, a pesquisa está disponível no blog de Malwarebytes: Malwarebytes — Infiniti Stealer. Para melhor compreender as diferenças técnicas entre ferramentas de empacotamento Python, você pode consultar a documentação Nuitka e a da PyInstaller. E se você se interessar por saber como funcionam as verificações humanas legítimas na web, a documentação do Cloudflare sobre sistemas de verificação (Turnstile) é um bom ponto de referência: Cloudflare Turnstile. Além disso, a forma como os operadores notificam resultados através de bots pode ser apoiada na API pública do Telegram: Telegram Bot API.
Para os usuários e administradores isso deixa lições claras. Em primeiro lugar, nunca se deve colar em Terminal comandos coletados de páginas web ou mensagens sem entender exatamente o que fazem; essa prática é a porta de entrada mais repetida em campanhas como esta. Em segundo lugar, é recomendável reforçar as políticas de execução nas máquinas macOS: aplicar controles do Gatekeeper, manter o sistema e as aplicações atualizadas, e considerar soluções de proteção de endpoints que inspeccionem comportamentos incomuns, não apenas assinaturas estáticas. A Apple tem documentação de suporte que ajuda a entender como o Gatekeeper e a quarentena de arquivos ajudam a proteger os equipamentos: Suporte Apple — Problemas para instalar ou abrir apps.
Se você suspeitar que você pode ser vítima deste tipo de infecção, é recomendável desligar a máquina da rede, evitar reutilizar credenciais que pudessem ter sido expostas, mudar senhas de outro dispositivo seguro e contatar serviços de resposta ou usar ferramentas de confiança para procurar artefatos conhecidos. Em ambientes corporativos, bloquear a execução de binários não assinados por MDM e revisar logs de Terminal e conexões salientes pode ajudar a detectar compromissos iniciais.
O caso do Infinity Stealer é um lembrete de que as ameaças no macOS continuam a evoluir: os atacantes combinam táticas psicológicas com técnicas de ofuscação e empacotamento para maximizar impacto e minimizar a possibilidade de serem analisados. Manter a suspeita razoável contra janelas emergentes, desafios de verificação ou instruções para colar comandos e reforçar políticas de segurança são medidas simples que, a longo prazo, podem marcar a diferença entre um susto e um fosso.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...