Achei que os MacBooks eram relativamente mais seguros do que outros laptops, mas provei que estava errado. É desconcertante e patentemente errado. novo relatório de Sophos XOps Nenhum esforço foi poupado em esfregar meu nariz.
Os pesquisadores da empresa rastrearam três campanhas de ataque separadas entre novembro de 2025 e fevereiro de 2026, todas direcionadas a usuários do macOS usando algo chamado MacSync infostealer. Para se atualizar, é um tipo de malware que age como um batedor de carteira digital, vasculhando silenciosamente suas senhas e credenciais armazenadas.
Então, como isso realmente funciona?
O malware usou um método de entrega chamado ClickFix, que exigia esforço técnico mínimo. Tudo o que a vítima precisa fazer é copiar e colar os comandos em um terminal Mac (projetado para iniciar e executar comandos baseados em texto) e pressionar Enter no teclado.
Primeiro, os agentes maliciosos usaram uma página falsa de download do OpenAI distribuída por meio de anúncios patrocinados do Google (localizados diretamente acima do link legítimo). Os invasores então começaram a compartilhar conversas compartilhadas nos bastidores do ChatGPT disfarçadas de “guias úteis para Mac”.
O guia direcionou os usuários a uma página falsa do GitHub com instruções de instalação de software cuidadosamente escritas, mas na verdade pedia aos usuários que copiassem comandos do terminal para permitir que o infostealer ManSync funcionasse em segundo plano. É isso; É disso que se trata o ataque.
Quão ruim ficou?
A Sophos descobriu que, em dezembro de 2025, atores mal-intencionados rotearam mais de 50.000 cliques desses domínios maliciosos. Um “clique” significa que alguém copiou um comando de terminal malicioso, mas não significa necessariamente que o malware foi instalado com sucesso. O número real de pessoas infectadas pode ser menor.
Os desenvolvedores fizeram outra mudança no método de ataque em fevereiro de 2026, permitindo que ele fosse executado silenciosamente em segundo plano, ignorando ferramentas de segurança do macOS, como Gatekeeper e XProtect. Você pode corrigir a chave mestra de 24 palavras da sua carteira contábil de criptomoedas de uma forma muito prática.
A empresa informou que grupos de infecções estavam activos nos principais mercados, incluindo a América do Norte, a América do Sul e partes da Índia, nas semanas que antecederam a publicação do seu último artigo (possivelmente no início de Março).
Além disso, a ideia de que “Macs são seguros” simplesmente não é verdadeira, pelo menos não por enquanto. À medida que as plataformas de IA crescem em popularidade e, mais importante, ganham a confiança de milhões de utilizadores, os agentes maliciosos estão a conceber novas formas de aproveitar ferramentas baseadas em LLM. Não recomendamos colar comandos baseados em texto no Terminal Mac neste momento.
