Um novo e perigoso malware para Mac, batizado de "Shamos", está a ser distribuído através de ataques que se fazem passar por guias de ajuda e soluções para problemas técnicos, com o objetivo de roubar dados sensíveis das vítimas.
Este novo malware, identificado como uma variante do já conhecido Atomic macOS Stealer (AMOS), foi desenvolvido pelo grupo de cibercriminosos "COOKIE SPIDER". A sua principal função é infiltrar-se nos sistemas para extrair credenciais guardadas em navegadores de internet, dados do Keychain, notas da aplicação Apple Notes e carteiras de criptomoedas.
A empresa de cibersegurança CrowdStrike, que detetou a ameaça, relata que, desde junho de 2025, o Shamos já tentou infetar mais de trezentos ambientes empresariais que a empresa monitoriza a nível global.
O engenhoso método de ataque 'ClickFix'
Os atacantes utilizam uma tática conhecida como "ClickFix" para enganar as vítimas. Através de anúncios maliciosos em motores de busca (malvertising) ou de repositórios falsos no GitHub, os criminosos criam páginas que prometem resolver problemas comuns do macOS. Estas páginas instruem os utilizadores a copiar e colar comandos de texto diretamente na aplicação Terminal do sistema operativo.
No entanto, em vez de corrigir qualquer problema, estes comandos iniciam o processo de infeção. As instruções, aparentemente inofensivas, descarregam e executam o malware no dispositivo, contornando as proteções de segurança do macOS, como o Gatekeeper.
Como o Shamos rouba os seus dados
Uma vez ativo no sistema, o Shamos começa por verificar se está a ser executado num ambiente virtual, uma técnica para evitar a deteção por parte de analistas de segurança. De seguida, inicia um processo de reconhecimento do sistema e recolha de dados.
O malware procura especificamente por ficheiros de carteiras de criptomoedas, dados do Keychain, notas e informações guardadas nos navegadores. Toda a informação recolhida é compactada num ficheiro chamado 'out.zip' e enviada discretamente para um servidor controlado pelos atacantes.
Nos casos em que o malware consegue obter privilégios de administrador, ele garante a sua persistência no sistema, sendo executado automaticamente a cada arranque do computador. A CrowdStrike nota ainda que o Shamos tem a capacidade de descarregar outras ameaças para o dispositivo infetado.
Como pode proteger-se desta ameaça
A principal recomendação para os utilizadores de macOS é a cautela. Nunca execute comandos no Terminal que encontrou online, a menos que compreenda perfeitamente a sua função. O mesmo se aplica a projetos no GitHub, que podem ser usados para distribuir código malicioso.
Ao procurar ajuda para problemas no seu Mac, evite os resultados de pesquisa patrocinados e procure apoio nos fóruns oficiais da Comunidade Apple, que são moderados pela própria empresa, ou utilize a ajuda integrada do sistema. Este tipo de ataque, 'ClickFix', tem-se tornado cada vez mais popular e eficaz na distribuição de malware, sendo já utilizado em ataques de ransomware e até por grupos patrocinados por estados.
Nenhum comentário
Seja o primeiro!