Pesquisadores da CloudSEK analisaram uma campanha que distribui um novo infostealer para macOS chamado MacSync, projetado para roubar credenciais e chaves de carteiras de criptomoedas por meio de engenharia social que convence a vítima a colar um comando único no Terminal.
Descoberta e escopo
A descoberta ocorreu durante investigação de infraestrutura de phishing que imitava páginas de login da Microsoft. As páginas de atração redirecionavam vítimas para um falso instalador de armazenamento em nuvem com instruções passo a passo que pediam que o usuário copiasse e colasse um one‑liner no Terminal — ação que acionava toda a cadeia de infecção.
Mecanismo de infecção
Segundo a análise da CloudSEK, o ataque é inteiramente script‑driven: o comando inicial baixa um loader Zsh que se torna um daemon desacoplado da sessão Terminal. Esse loader, por sua vez, obtém e executa um payload AppleScript remoto que contém a lógica central de exfiltração de dados. O uso de scripts permite contornar proteções tradicionais do macOS, como Gatekeeper e checagem de notarização de binários.
Dados visados e método de extração
- O infostealer exibe diálogos falsos solicitando repetidamente a senha de login para vencer a resistência do usuário;
- Coleta perfis de navegadores Chromium (Chrome, Brave, Edge, Opera), extraindo senhas e cookies de sessão;
- Procura extensões de carteiras de criptomoedas e copia frases-semente e chaves privadas;
- Também exfiltra chaves SSH, credenciais AWS, bancos de dados do Keychain e notas do Apple Notes.
Persistência e trojanização de carteiras
Quando detecta aplicações de carteira hardware ou desktop (como Ledger, Trezor, Exodus, Electrum, Bitcoin Core), o malware pode condicionalmente trojanizar componentes dessas aplicações, substituindo partes legítimas por versões maliciosas que exibem assistentes de phishing para capturar PINs e frases de recuperação semanas ou meses após a infecção inicial.
Infraestrutura e modelo de negócio
A análise identifica pelo menos oito domínios de comando e controle rotativos e múltiplas páginas‑lure variantes, o que indica operação modular e escalável. O ator comercializa o MacSync como Malware‑as‑a‑Service, com preço baixo e design modular que facilita adoção por criminosos orientados a roubo de ativos cripto.
Recomendações para defensores
- Desconfiar de instruções que pedem para colar comandos no Terminal; validar instaladores por canais oficiais;
- Aplicar bloqueios e políticas de execução de scripts no macOS onde possível e monitorar processos Zsh que se tornam daemons sem justificativa operacional;
- Habilitar e monitorar o uso do Keychain e aplicações de carteira para alterações inesperadas em seus binários ou componentes;
- Considerar segmentação de contas e privilégios: evitar que usuários com acesso a carteiras/credenciais operem em hosts com navegação de alto risco;
- Manter backups offline e checar integridade de aplicativos de carteira antes de updates.
O que falta saber
Apenas a partir do relatório da CloudSEK é possível descrever a cadeia técnica e a infraestrutura observada. Não há, nos materiais consultados, números públicos sobre volume de vítimas ou estimativa de perdas. Também não foram divulgadas amostras de domínios ou hashes que permitam bloqueio imediato sem análise adicional.