A comunidade de utilizadores de macOS está sob alerta. Uma nova e sofisticada campanha de ciberataques está a usar repositórios fraudulentos no GitHub para distribuir software malicioso, fazendo-se passar por mais de 100 aplicações populares para enganar as vítimas. O aviso foi emitido pela empresa de segurança LastPass, que também se encontra entre as marcas imitadas.
Os atacantes estão a recorrer a táticas de otimização para motores de busca (SEO) na Google e no Bing, garantindo que as suas páginas falsas no GitHub aparecem bem posicionadas nos resultados de pesquisa. Desta forma, um utilizador que procure por um programa legítimo pode ser facilmente levado a uma armadilha.
Como funciona este engenhoso (e perigoso) ataque?
A técnica utilizada é conhecida como "ClickFix". Quando um utilizador visita um destes repositórios no GitHub fraudulentos, encontra um botão de download que o redireciona para um site secundário. Nesse site, em vez de um ficheiro de instalação normal, é-lhe pedido que copie e cole um comando diretamente na aplicação Terminal do seu Mac.
É aqui que reside o perigo. Ao executar um comando desconhecido, o utilizador está essencialmente a dar permissão para que um ficheiro malicioso seja descarregado e executado no seu sistema, contornando muitas das defesas habituais do macOS. O comando em questão usa um pedido curl para descarregar o ficheiro infetado para uma diretoria temporária e iniciar a infeção.
AMOS: mais do que um simples ladrão de dados
O software malicioso distribuído nesta campanha é o Atomic (AMOS), um perigoso malware de roubo de informação que opera num modelo de "malware-como-serviço", disponível para outros criminosos por cerca de 1.000 dólares mensais. O seu objetivo principal é extrair dados sensíveis do computador infetado.
Recentemente, os criadores do AMOS adicionaram-lhe um componente de backdoor, o que permite aos atacantes manter um acesso persistente e furtivo aos sistemas comprometidos, mesmo após o roubo inicial de dados.
Uma lista de alvos que não acaba
A escala desta campanha é alarmante. Para além do LastPass, os atacantes estão a imitar mais de 100 outras aplicações e serviços de renome, incluindo 1Password, Dropbox, Confluence, Robinhood, Fidelity, Notion, Gemini, Audacity, Adobe After Effects, Thunderbird e SentinelOne. Esta diversidade de alvos aumenta drasticamente a probabilidade de um utilizador comum se deparar com uma destas armadilhas.
Como se proteger e evitar cair na armadilha
Apesar da sofisticação do ataque, proteger-se passa por seguir algumas regras de segurança fundamentais. A recomendação mais importante é descarregar software apenas a partir dos sites oficiais dos respetivos fabricantes ou projetos.
Seja extremamente cauteloso ao executar comandos no Terminal que não compreende totalmente. Se um site lhe pedir para colar um comando para instalar uma aplicação, desconfie imediatamente. Verifique sempre a autenticidade da fonte e, em caso de dúvida sobre uma versão para macOS de um programa, confirme se a mesma é anunciada pelo fornecedor oficial.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
