Hack Alerta

Ataques via AppleScript: amostra entrega malware disfarçado de atualizações macOS

Por Redação Hack Alerta Publicado em 12/11/2025 10:01 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores da Moonlock Labs e Pepe Berba descreveram campanhas que usam arquivos AppleScript compilados (.scpt) para entregar malware disfarçado de atualizadores do Zoom e Teams. Os scripts tiram proveito do Script Editor.app e de engenharia social nos nomes dos arquivos; muitas amostras apresentam zero detecções no VirusTotal.

Pesquisadores identificaram uma técnica de entrega que usa arquivos AppleScript compilados (.scpt) para distribuir malware no macOS, com campanhas que imitam atualizadores legítimos como Zoom e Microsoft Teams.

Descoberta e panorama

Analistas da Moonlock Labs e o pesquisador Pepe Berba documentaram o uso crescente de .scpt compilados como vetor de entrega. A técnica ganhou tração após mudanças no comportamento do Gatekeeper: desde a remoção do atalho “right-click and open” em agosto de 2024, adversários exploraram o fato de que arquivos .scpt abrem por padrão no Script Editor.app, criando uma superfície de ataque.

Abordagem técnica

Os arquivos .scpt analisados apresentam engenharia social na nomenclatura — exemplos citados incluem "MSTeamsUpdate.scpt", "Zoom SDK Update.scpt" e "Microsoft.TeamsSDK.scpt" — e instruções que abrem URLs em segundo plano enquanto mostram uma interface que induz o usuário a clicar em "Run" (ou Cmd+R) no Script Editor.

Um trecho de amostra descrito nas fontes mostra comandos como:

set teamsSDKURL to "https://learn.microsoft.com/en-us/microsoftteams/platform/?v=..." followed by do shell script "open -g " & quoted form of teamsSDKURL

Outro artifício usado é inserir o payload após muitas linhas em branco, dificultando a inspeção casual do script.

Detecção e persistência

As fontes relatam que muitos desses .scpt mantêm zero detecções no VirusTotal, o que amplia a janela de operação antes de contramedidas serem implementadas por vendors. Amostras foram associadas a famílias de malware commodity como MacSync Stealer e Odyssey Stealer, sinalizando migração de técnicas de atores avançados para criminosos comuns.

Vetor de distribução

Os arquivos chegam tipicamente por e-mails de phishing ou por sites comprometidos que oferecem atualizações, explorando a confiança do usuário em nomes de instaladores conhecidos.

Mitigações e recomendações

  • Educar usuários para verificar atualizações apenas via canais oficiais e instaladores assinados.
  • Implementar monitoramento de endpoint capaz de detectar execução atípica de AppleScript e padrões de abertura de URLs via shell.
  • Inspecionar amostras suspeitas em ambientes isolados antes de execução e usar mecanismos de digitalização que abranjam scripts compilados.

Limites das informações

As matérias não listam números de amostras coletadas, indicadores de comprometimento completos nem PoCs públicas; tampouco há dados sobre exploração em escala ou incidentes relacionados a vítimas nomeadas.

Contexto

Segundo a cobertura, a técnica demonstra como mudanças em controles de plataforma (Gatekeeper) e o uso de ferramentas nativas podem ser readequados por atacantes, exigindo atenção de equipes de defesa a vetores pouco tradicionais no macOS.

Baseado em publicação original de Cyber Security News
Tags: #macos #applescript #malware #phishing #delivery-vector #macsync #odyssey-stealer #script-editor #gatekeeper
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar