Hack Alerta

Ataque usa chats compartilhados de LLM para entregar stealer ao macOS

Por Redação Hack Alerta Publicado em 11/12/2025 10:01 Riscos e Ameaças Tempo de leitura: 4 min

Campanha que abusa de shared chats em plataformas de LLM e de resultados patrocinados do Google entrega um info‑stealer (identificado como Shamus) no macOS. O ataque usa comandos base64 e camadas de obfuscação, solicita senha via script bash, cria persistência por LaunchDaemon e mira navegadores e carteiras de criptomoedas.

Ataque usa chats compartilhados de LLM para entregar stealer ao macOS

Uma campanha recente identificada por analistas explora links de "shared chats" em plataformas de LLM e resultados patrocinados do Google para induzir usuários de macOS a executar comandos maliciosos. O vetor usa conversas públicas aparentemente legítimas para ocultar carga útil que instala um info‑stealer focado em criptomoedas.

Descoberta e escopo / O que mudou agora

Pesquisadores da Breakpoint Security documentaram uma campanha que redireciona buscas patrocinadas no Google — por termo como “how to clear storage on Mac” — para links falsos de ChatGPT e DeepSeek que hospedam conversas compartilhadas contendo instruções. As instruções aparentam ser guias úteis, mas incluem comandos codificados que, quando executados, iniciam o processo de infecção.

Vetor e exploração / Mitigações

O ataque combina técnicas de malvertising com abuso de funcionalidades de plataformas de IA que permitem compartilhamento público de chats. O fluxo observado é o seguinte:

  • Usuário clica em resultado patrocinado e é levado a um shared chat falso.
  • O chat contém instruções que embutem comandos codificados (base64 e camadas adicionais de codificação aritmética/XOR com um decodificador custom de 6 bits).
  • Se o usuário executar os comandos, um script bash solicita a senha do sistema fingindo verificação legítima.
  • Com a senha o atacante eleva privilégios e baixa o binário principal de um servidor controlado por atores maliciosos.

Para mitigar a exposição, medidas práticas imediatas incluem bloquear ou restringir acesso a sites e domínios maliciosos detectados em resultados patrocinados, evitar executar scripts recebidos de fontes não verificadas, e reforçar políticas de privilégio mínimo para contas com capacidade de instalar software. As plataformas de IA devem revisar práticas de publicação de shared chats e os mecanismos de revisão de links patrocinados devem ser auditados para reduzir o abuso.

Impacto e alcance / Setores afetados

O malware identificado pela análise da Breakpoint Security foi classificado como Shamus, um info‑stealer conhecido por foco em credenciais e carteiras de criptomoedas. Entre as capacidades relatadas estão:

  • Roubo de cookies e senhas de navegadores: Chrome, Firefox e outras 12 implementações baseadas em Chromium.
  • Exfiltração do banco de dados do macOS Keychain e dados de sessões do Telegram.
  • Coleta de perfis de VPN, arquivos do Desktop e Documents, e outros artefatos locais.
  • Alvo explícito a 15 aplicações de carteiras — incluindo Ledger Live, Trezor Suite, Exodus, Coinomi, Electrum e Bitcoin Core — com o objetivo de subtrair ativos.
  • Persistência por meio da criação de um LaunchDaemon que garante reinicialização automática.

Após a coleta os dados são comprimidos e enviados a servidores de comando e controle usando canais criptografados. O ataque afeta diretamente usuários finais de macOS que executam comandos de fontes não verificadas; organizações com funcionários que realizam procedimentos de manutenção local no macOS são particularmente expostas.

Limites das informações / O que falta saber

Os relatórios públicos detalham a técnica e o binário identificado como Shamus, mas não fornecem métricas públicas sobre alcance (número de máquinas comprometidas) nem indicadores de comprometimento (IOCs) completos neste resumo. Não há até o momento uma listagem pública consolidada de domínios e hashes divulgada nas matérias utilizadas como fonte; defensores precisam consultar os relatórios técnicos originais da Breakpoint Security e feeds de inteligência para obter IOCs e listas de URLs observadas.

Repercussão / Próximos passos

Empresas de segurança e administradores de rede devem:

  • Bloquear resultados e domínios maliciosos identificados em alertas e feeds;
  • Implementar listas de bloqueio para downloads remotos via scripts e reforçar políticas de execução de scripts (especialmente para contas com privilégios);
  • Orientar equipes e usuários finais a não inserir senhas em prompts de terminal sugeridos por conteúdos online e a verificar a origem de guias técnicos; e
  • Monitorar conexões de saída criptografadas incomuns que possam indicar exfiltração de dados.

Fonte: Cyber Security News (relato e análise da Breakpoint Security). Informações técnicas e escopo adicionais devem ser consultados nas publicações originais para indicadores e IoCs.

Baseado em publicação original de Cyber Security News
Tags: #macos #malware #llm #infostealer #shamus #malvertising #security #ai #breakpoint-security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar