Uma nova onda de ataques de engenharia social, conhecida como ClickFix, está focada em usuários de macOS, utilizando iscas que se passam por ferramentas de limpeza de disco e utilitários do sistema. A campanha, identificada por pesquisadores da Microsoft, instrui as vítimas a abrirem o Terminal e colarem comandos maliciosos, permitindo que os atacantes baixem e executem infostealers sem que o usuário perceba.
Mecanismo de ataque e vetores de distribuição
O ataque explora a confiança dos usuários em guias de solução de problemas online. Os criminosos publicam posts falsos em plataformas confiáveis como Medium e Craft, prometendo resolver problemas comuns de macOS, como falta de espaço em disco. Ao seguir as instruções, o usuário executa comandos que bypassam verificações de segurança do sistema, como o Gatekeeper.
Uma vez que o comando é executado no Terminal, ele decodifica um script oculto que inicia uma cadeia de eventos maliciosos. O script coleta informações do sistema, como localização do teclado e versão do sistema operacional, e se comunica com servidores de comando e controle (C2) controlados pelos atacantes.
Famílias de malware e persistência
Três famílias de infostealers foram confirmadas ativas nesta campanha: Macsync, Shub Stealer e AMOS. Cada uma segue um playbook similar para roubar dados sensíveis, incluindo senhas salvas, credenciais do navegador, chaves de criptomoedas e dados do iCloud.
Para manter o acesso persistente, os atacantes utilizam LaunchAgents e LaunchDaemons, processos de segundo plano que iniciam automaticamente a cada reinicialização. Uma campanha específica disfarça seu componente de persistência como um agente de atualização de software do Google, utilizando um arquivo plist nomeado com.google.keystone.agent.plist para se esconder à vista.
Indicadores de comprometimento (IoCs)
Equipes de segurança devem monitorar os seguintes indicadores para detectar a campanha:
- Dominios maliciosos: cleanmymacos.org, mac-storage-guide.squarespace.com, macclean.craft.me.
- Endereços IP: 95.85.251.177, 45.94.47.204.
- Hashes SHA-256: 9d2da07aa6e7db3fbc36b36f0cfd74f78d5815f5ba55d0f0405cdd668bd13767, 7ca42f1f23dbdc9427c9f135815bb74708a7494ea78df1fbc0fc348ba2a161ae.
- Caminhos de arquivo: /tmp/helper, ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate.
Medidas de mitigação recomendadas
Para proteger os ambientes macOS, as organizações devem adotar as seguintes práticas:
- Educação do Usuário: Alertar os usuários para nunca colar comandos copiados de fontes online no Terminal, independentemente da aparência da página.
- Monitoramento de Rede: Detectar atividades incomuns de curl, comandos envolvendo osascript, Base64 e Gunzip.
- Proteção de Endpoint: Atualizar as assinaturas do XProtect da Apple e utilizar soluções de segurança de terceiros que ofereçam detecção comportamental.
- Revisão de Logs: Monitorar o acesso não autorizado ao Keychain e repositórios de credenciais do navegador.
Implicações para a segurança corporativa
Este ataque destaca a importância de proteger não apenas os sistemas operacionais, mas também os processos de trabalho dos usuários. A engenharia social continua sendo um vetor de ataque eficaz, especialmente quando combinada com a falta de conscientização sobre os riscos de executar comandos no Terminal. A Microsoft recomenda que os administradores de TI monitorem ativamente as redes corporativas em busca de sinais de comprometimento e implementem políticas de segurança que limitem o acesso ao Terminal para usuários não autorizados.
Perguntas frequentes
O que é o ClickFix?
É uma campanha de ataque que usa iscas de utilitários falsos para induzir usuários a executar comandos maliciosos no Terminal.
Quais dados são roubados?
Senhas, credenciais de navegador, chaves de criptomoedas, dados do iCloud e informações pessoais.
Como prevenir?
Nunca execute comandos do Terminal de fontes não confiáveis e mantenha o sistema operacional atualizado.