Nos últimos meses, as equipes de resposta a ameaças têm observado uma mudança de paradigma: as campanhas que roubam credenciais e segredos deixam de ser um problema exclusivo do Windows e começam a prosperar no macOS. Segundo a equipe de pesquisa de segurança da Microsoft, os atacantes estão aproveitando linguagens multiplataformas como Python e redes de distribuição de confiança para infectar usuários da Apple com instaladores fraudulentos e técnicas que evitam a detecção tradicional.
A porta de entrada é normalmente uma peça de engenharia social bem pulada. Anúncios maliciosos e páginas construídas para parecer descargas legítimas levam a vítimas que buscam ferramentas populares - por exemplo utilitários relacionados com IA ou bibliotecas - para instaladores em formato DMG que, ao executar, exibem famílias de infostealers específicas para macOS. A Microsoft documenta campanhas que empregam cebos tipo ClickFix, uma técnica que engana o usuário para copie e cole comandos ou instale o que acha que é uma correção ou uma ferramenta útil; o resultado é a auto-infecção do equipamento com malware capaz de exfiltrar senhas, cookies e outros segredos.
Os nomes que surgiram nos relatórios incluem famílias como Atomic macOS Stealer (AMOS), MacSync e DigitStealer. Em outros casos, as mesmas ferramentas baseadas em Python facilitam a reutilização e adaptação do código para múltiplos sistemas operacionais, o que acelera a expansão desses ataques a ambientes heterogêneos. A Microsoft explica com mais detalhe estas observações em sua análise técnica: Infostealers without borders.
A técnica dos atacantes não se limita a instalar um binário malicioso: muitas campanhas usam execução sem arquivos persistentes, recorrem a utilitários nativos do macOS e AppleScript para automatizar tarefas maliciosas, e manipulam o sistema para coletar informações sensíveis como credenciais guardadas em navegadores, dados de sessão e elementos guardados no iCloud Keychain. O risco não é apenas a perda de palavras-passe pessoais; também estão em jogo segredos de desenvolvimento e tokens que permitem aceder a infra-estruturas internas, o que pode resultar em intrusões maiores, suplantações de correio corporativo (BEC), ataques à cadeia de fornecimento ou mesmo extorsão e ransomware.
A distribuição massiva passa em muitos casos por malvertising e SEO poisoning: campanhas que pagam por anúncios ou manipulam resultados de busca para redireccionar páginas clonadas de ferramentas populares. O Google Ads e outras plataformas de anúncios foram mencionadas como vetores que, sem uma revisão adicional por parte do usuário, podem levar a downloads aparentemente legítimas. Para entender como anúncios maliciosos e práticas de qualidade do inventário publicitário influenciam isso, convém ler as políticas do Google Ads e as recomendações sobre conteúdo malicioso: Políticas do Google Ads.
As campanhas também mostraram variações geográficas e operacionais: por exemplo, pesquisadores associaram certos stealers escritos em Python a atores que falam vietnamita e documentaram o uso de serviços de mensagens como o Telegram para canalizar comandos e filtrar dados. Em outros incidentes, o WhatsApp tem sido usado para propagar links maliciosos que levam a instalações enganosas, como relatados equipamentos de resposta a incidentes em análises públicas sobre essas famílias de malware.
O que pode fazer uma pessoa ou uma organização para se proteger? Primeiro, desconfiar de instaladores que aparecem depois de cliques em anúncios ou em sites que imitam ferramentas conhecidas. No macOS, respeitar os controles de segurança nativos, como Gatekeeper, e garantir a instalação de software apenas de desenvolvedores verificados ou desde a App Store reduz a superfície de ataque. A Apple mantém documentação sobre o iCloud Keychain e suas medidas de segurança que é útil rever: O que é o iCloud Keychain?. Além disso, atualizar o sistema operacional e as assinaturas de segurança, e usar gestores de senhas e autenticação multifator, limita o dano se algum artigo de credencial for comprometido.
Desde a postura de detecção técnica, os equipamentos de segurança devem prestar atenção a comportamentos atípicos em Terminal, execuções da AppleScript não justificadas, acessos a chaveiros (Keychain) por processos inesperados e tráfego de saída que incluam petições POST para domínios recentemente registrados ou com reputação duvidosa. A monitoração de egress e a correlação com herramentos de inteligência de domínios maliciosos ajudam a identificar vazamentos antes que se tornem incidentes maiores. Também é útil rever as guias de resposta a phishing e técnicas de roubo de credenciais publicadas por equipes de segurança nacionais, como as recomendações do NCSC: Dicas sobre phishing.
Em ambientes mistos, onde convivem equipamentos macOS e Windows, os atacantes aproveitam as mesmas cadeias de infecção para implantar variantes de stealers em cada plataforma. No Windows não é raro ver persistência por chaves de registro ou tarefas programadas; no macOS a persistência pode tentar camuflar-se atrás de agentes de usuário ou cron jobs. Por isso a proteção efetiva combina prevenção, detecção e resposta rápida: formação contínua a usuários sobre engenharia social, controles técnicos que restrinjam a execução de software não autorizado e regras de rede para bloquear domínios e serviços utilizados pelos atores maliciosos.
Os investigadores alertam para que a escalada deste tipo de ataques, impulsada por linguagens reutilizáveis como Python e pela exploração de canais legítimos de distribuição, torna a ameaça rápida evolucione. Para os responsáveis pela segurança e administradores é fundamental manter políticas de controle de execução, aplicar segmentação de rede, exigir autenticação sólida e rever regularmente acessos a segredos e repositórios de código. A transparência nos relatórios de incidentes e o intercâmbio de indicadores de compromisso entre organizações acelera a capacidade de resposta coletiva contra essas campanhas.
Em suma, a combinação de publicidade maliciosa, instaladores falsos e stealers multiplataforma é um lembrete: a segurança não depende apenas do sistema operacional. A prevenção passa por uma camada humana treinada, ferramentas de defesa actualizadas e controles de rede e endpoints que detectem comportamentos anormais antes que os atacantes tenham informações valiosas.
Para ampliar a leitura e consultar a análise original da Microsoft, você pode acessar o relatório técnico aqui: Microsoft Security Blog. Para guias práticas sobre evitar o phishing e a ex-filtração de credenciais, a coleta de recursos do NCSC é muito útil: NCSC – Phishing. E se você quiser rever políticas e recomendações sobre anúncios e práticas maliciosas em plataformas publicitárias, consulte a documentação do Google Ads: Google Ads policy.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...