Uma nova campanha dirigida a usuários do macOS voltou a colocar o foco em uma técnica de engenharia social que explora uma aplicação de confiança do sistema: o Script Editor. Pesquisadores de segurança observaram que atacantes estão usando páginas web com aparência legítima – normalmente guias para liberar espaço em disco ou melhorar o desempenho do Mac – para induzir o navegador a abrir links especiais que lançam Script Editor com código já inserido. O resultado: o usuário vê uma janela de uma app nativa aparentemente inocua, mas por trás se esconde a execução de comandos que descarregam e lançam malware sem passar por um Terminal explícito.
O Editor é uma ferramenta pré-instalada no macOS concebida para criar e executar o AppleScript e o JXA, e por isso goza de privilégios e confiança do sistema. Essa confiança é precisamente a que aproveitam os atacantes: em vez de pedir ao usuário que copie e cole linhas em Terminal - a tática clássica conhecida como ClickFix - agora é usado o esquema de URL do AppleScript para abrir Script Editor com um programa malicioso já carregado. Ao aceitar a abertura, o código pode executar uma cadeia ofuscada tipo “curl | zsh” que descarrega e executa scripts diretamente em memória, decifra cargas úteis comprimidas, escreve binários temporários, remove atributos de segurança com xattr e arranca o executável final.
Nesta campanha concreta os pesquisadores de Jamf identificaram como carga útil final um binário Mach-O conhecido como Atomic Stealer (também referido como AMOS), um malware of-the-shelf que tem aparecido repetidamente em campanhas tipo ClickFix durante o último ano. Atomic Stealer é projetado para extrair informações sensíveis do sistema: dados armazenados no Chavero (Keychain), conteúdo do ecrã, extensões de carteiras de criptomoedas no navegador, auto-completado, senhas, cookies, cartões gravados e outras informações de sistema. Relatórios recentes também apontam que os operadores adicionaram componentes de porta traseira para manter acesso persistente aos equipamentos comprometidos.
A sutileza da variação atual é que o usuário não necessariamente tem que interagir com Terminal para que o ataque funcione: Script Editor, por sua própria natureza, pode servir como vetor de execução quando lhe é fornecido código a partir de um URL. Por isso, algumas medidas adicionadas pela Apple em versões recentes do macOS buscam conter esses enganos mostrando advertências quando se tenta executar comandos do Terminal ou aplicativos relacionados; embora essas proteções ajudem, não removem completamente o risco se a vítima concede permissões ou confirma a abertura de um script confiando no conteúdo da página.
Se você recebe um guia online sobre manutenção do sistema que o convida para “ejecutar um comando” ou abrir um script, tratala com suspeita. As páginas maliciosas costumam imitar a estética e a linguagem de recursos de ajuda legítimos para baixar a guarda: iconografia da Apple, capturas de tela e passos aparentemente razoáveis. A recomendação geral é ir apenas a documentação oficial para problemas do sistema; o site de suporte da Apple sobre Script Editor pode ajudá-lo a entender a finalidade real dessa ferramenta: support.apple.com — Script Editor. Para consultas e soluções entre usuários, a comunidade oficial da Apple também existe, mas convém lembrar que os fóruns não estão isentos de risco: Apple Support Communities.
Em ambientes corporativos e administradores, usar soluções de gestão e proteção de endpoints reduz a probabilidade de infecção e facilita a detecção de comportamentos anormais; para usuários domésticos, manter o sistema atualizado e desconfiar de “trucos rápidos” para recuperar espaço ou acelerar a equipe é a defesa mais efetiva. Além disso, se você suspeitar que sua equipe tem sido comprometida, você deve desligar de redes, rever processos com o Activity Monitor, e solicitar o apoio de profissionais ou ferramentas de segurança para realizar uma análise forense e limpeza.
A reutilização de aplicativos legítimos por parte de atacantes não é novidade, mas sim um lembrete de que a superfície de ataque muda com a criatividade dos criminosos informáticos. Tentar os avisos de Script Editor como potencialmente perigosos e verificar a proveniência de qualquer instrução técnica É, por agora, a solução mais prática para não cair nestas armadilhas.
Para ampliar informações sobre como a Apple e a comunidade de segurança estão respondendo a essas variantes do ClickFix e campanhas com info-stealers, podem ser consultadas pesquisas e relatórios jornalísticos recentes; uma cobertura que sintetiza a introdução de advertências por parte da Apple pode ser lida em BleepingComputer, e a análise técnica da campanha com Atomic Stealer foi publicada por Jamf.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...