Uma campanha sofisticada de engenharia social utilizando anúncios patrocinados do Google foi identificada entregando o malware MacSync Stealer, um sequestrador de credenciais para macOS que também trojaniza aplicativos de carteiras de criptomoedas Ledger. A descoberta foi realizada por pesquisadores do Beelzebub Labs, que utilizaram sua plataforma de inteligência de ameaças agêntica Caronte para analisar um comando de terminal suspeito submetido para verificação.
O isco: anúncio patrocinado que imita o Claude Code
A campanha explora a busca por ferramentas de desenvolvimento legítimas. Ao pesquisar por "claude code mac install" no Google, os usuários são apresentados a um resultado patrocinado intitulado "Install Claude macOS", que aparece acima do listing oficial da Anthropic. O clique redireciona para uma página de instalação falsa hospedada no sites.google.com, construída para imitar de perto a marca da Anthropic, incluindo um contador fabricado de "12M+ downloads" e um botão de cópia de um clique para um comando de terminal malicioso.
A escolha da plataforma Google Sites é deliberada. O Google Sites renderiza seu conteúdo usando JavaScript, o que significa que scanners de segurança automatizados e proxies corporativos que buscam páginas sem executar JavaScript veem apenas um shell vazio e marcam o link como seguro. Um navegador humano, no entanto, executa o script e carrega a página falsa completa. Combinado com um domínio sites.google.com confiável que está em quase todas as listas de permissão, o atacante obtém um isco que é efetivamente invisível à detecção automatizada, mas totalmente convincente para uma pessoa real.
A página também inclui um tutorial "Novo no Terminal?" para usuários menos experientes. Um passo mostra uma animação falsa da instalação sendo concluída, que inclui a linha "Escreva a senha de administrador: **** ✓". Isso é um condicionamento deliberado: a página ensina às vítimas, antes de executarem um único comando, que digitar uma senha de administrador é uma parte normal e esperada da instalação do Claude Code.
A cadeia de ataque passo a passo
O comprometimento inteiro se desenrola em seis etapas vinculadas, movendo-se de um simples clique no anúncio ao roubo completo de credenciais e, para detentores de criptomoedas, um sequestro persistente da carteira.
- Anúncio patrocinado do Google: Um resultado de pesquisa pago imita a CLI do Claude Code para termos de pesquisa de desenvolvedores.
- Página de instalação falsa: Uma página do Google Sites imita o site da Anthropic e hospeda um comando de terminal pré-carregado.
- Comando do Terminal: A vítima cola um comando codificado em Base64 que dispara um dropper zsh de três etapas.
- Diálogo falso de senha: Um popup estilo "Preferências do Sistema" convincente rouba a senha de login do Mac.
- Colheita de credenciais: A senha roubada desbloqueia keychains, navegadores, extensões de carteira e credenciais de desenvolvedor.
- Trojan do aplicativo Ledger: Se um aplicativo de carteira de hardware estiver instalado, seu código é substituído silenciosamente para phishing da frase de recuperação no próximo lançamento.
Estágio um: o dropper de três partes
O comando colado decodifica para uma cadeia simples de curl-e-executar que silenciosamente baixa um arquivo nomeado após o hash do malware, marcado como .daily, sugerindo que o payload é rotacionado diariamente. Esse arquivo, por sua vez, contém um script compactado em base64 e gzip, executado com eval. Nomes de variáveis e identificadores de payload são randomizados em cada build, uma técnica básica para derrotar a correspondência de strings simples do antivírus.
O script decodificado final roda completamente silencioso, redirecionando toda a saída para longe do terminal, e realiza dois trabalhos: buscar e executar o payload real de roubo de credenciais e, mais tarde, fazer upload dos dados roubados de volta ao servidor do atacante em pequenos pedaços.
Estágio dois: roubando a senha do Mac
O payload de roubo de credenciais é escrito em AppleScript e identifica-se internamente como MacSync Stealer versão 1.1.2, tag de build "claude1", uma referência explícita ao isco para o qual foi construído. Seu primeiro movimento é forçar o fechamento do Terminal, apagando o comando malicioso do histórico de shell visível antes que a vítima pense em verificar.
Ele então precisa da senha de login do Mac e a obtém através de um truque bem disfarçado. Usando um comando macOS embutido que valida uma senha sem acionar qualquer prompt do sistema, o script testa silenciosamente o que quer que a vítima digite. Ele exibe uma janela de diálogo falsa, estilizada exatamente como um prompt real de "Preferências do Sistema" e usando o ícone de bloqueio genuíno da Apple, e simplesmente espera, em loop silencioso se a senha digitada estiver errada até que uma correta seja inserida.
Uma vez validada, essa senha é imediatamente usada: ela desbloqueia a keychain criptografada do Mac e extrai a chave mestra protegendo o "Chrome Safe Storage", o mecanismo que os navegadores Chromium usam para criptografar todas as senhas salvas.
Estágio três: colhendo tudo
Com essa única senha, o malware coleta sistematicamente uma faixa extraordinária de dados: logins salvos em mais de catorze navegadores baseados em Chromium e vários navegadores baseados em Firefox; mais de 80 extensões de carteira de criptomoedas do navegador e mais de 20 aplicativos de carteira de desktop; chaves SSH, arquivos de configuração AWS e Kubernetes; sessões do Telegram desktop; histórico do Safari e Apple Notes; e documentos sensíveis (PDFs, arquivos de chave, configurações de VPN) das pastas Desktop, Documents e Downloads. Tudo é compactado em um único arquivo para exfiltração.
Trojanizando o Ledger Live e o Ledger Wallet
Se o Ledger Live ou o Ledger Wallet estiver instalado, o malware não para de roubar o que já está no disco. Ele baixa uma versão modificada do código interno do aplicativo e o substitui no lugar do original, depois re-assina o aplicativo para que o macOS não o marque como danificado. Isso não é um roubo de uma vez só — é um sequestro persistente: todo lançamento futuro do Ledger Live agora executa o código do atacante.
Enterrado nesse código modificado está uma única instrução injetada, marcada com um comentário em russo significando "insira aqui". Cinco segundos após o aplicativo abrir — tempo suficiente para a interface real carregar e tranquilizar o usuário — a janela inteira redireciona silenciosamente para um fluxo de "recuperação" falso construído usando a própria arte de onboarding oficial da Ledger. Ele guia a vítima através de um erro de dispositivo fabricado e pede que ela re-insira sua frase de recuperação de recuperação para "consertá-la", entregando ao atacante o controle total da carteira.
Uma falha de design que funciona a favor das vítimas
Pesquisadores encontraram uma fraqueza significativa na construção do malware. Tanto o trojan da carteira quanto o upload de dados roubados são bloqueados atrás de um popup final, uma mensagem de erro falsa alegando "Seu Mac não suporta este aplicativo". Devido à forma como o script subjacente é escrito, ele pausa inteiramente nesse diálogo e não pode prosseguir até que a vítima clique através dele.
Isso significa que qualquer pessoa que force o fechamento do Terminal, feche seu laptop ou reinicie seu Mac antes de clicar nesse popup final interrompe a cadeia antes que qualquer dado saia da máquina e antes que qualquer aplicativo de carteira seja tocado. A pasta de staging temporária é automaticamente limpa quando o macOS reinicia. É um caso do próprio truque de engenharia social do atacante — projetado para fazer as vítimas saírem em silêncio — dando acidentalmente aos usuários cautelosos uma saída de emergência.
O que isso significa para desenvolvedores
O Beelzebub reportou o anúncio malicioso ao Google, que o removeu dentro de 24 horas por violar a política de publicidade, embora os operadores sejam conhecidos por rotacionar URLs de isco regularmente para ficar à frente das remoções. A lição principal para desenvolvedores é direta: sempre instale ferramentas de desenvolvimento de linha de comando diretamente da fonte oficial, nunca de um link em um anúncio de pesquisa, e trate qualquer comando de terminal copiado e colado contendo texto codificado ou ofuscado como uma bandeira vermelha séria, independentemente de quão legítimo pareça o site ao redor.
Se você executou um comando de instalação suspeito como este, alterar sua senha do Mac e rotacionar quaisquer credenciais salvas no navegador é uma precaução sensata, mesmo que você não tenha certeza se o diálogo final foi clicado.
Medidas de mitigação recomendadas
- Verifique a fonte: Nunca instale ferramentas de desenvolvimento a partir de anúncios de pesquisa. Use sempre o site oficial do fornecedor.
- Revise comandos de terminal: Nunca copie e cole comandos de terminal de fontes não confiáveis. Verifique o conteúdo do comando antes de executá-lo.
- Monitore atividades suspeitas: Procure por processos desconhecidos ou comandos de terminal incomuns no histórico.
- Atualize o macOS: Mantenha o sistema operacional e os aplicativos atualizados para as versões mais recentes de segurança.
- Use autenticação multifator: Ative MFA em todas as contas, especialmente aquelas que armazenam criptomoedas ou credenciais sensíveis.
Perguntas frequentes
Como sei se meu Mac foi comprometido? Verifique se há processos desconhecidos rodando no Activity Monitor, especialmente aqueles que se passam por ferramentas de sistema ou desenvolvimento. Verifique também se há extensões de navegador ou aplicativos de carteira que não foram instalados por você.
O que fazer se eu executei o comando? Desconecte-se da internet imediatamente, force o fechamento do Terminal e reinicie o Mac. Altere todas as suas senhas salvas no navegador e rotacione suas chaves de carteira de criptomoedas.
Isso afeta apenas usuários de criptomoedas? Não. O malware rouba credenciais de navegadores, chaves SSH e arquivos de configuração, o que pode comprometer contas corporativas e pessoais.