Resumo
Uma campanha de phishing direcionada a usuários macOS vem usando e‑mails de "compliance" e anexos com dupla extensão para executar AppleScript malicioso, coletar senhas administrativas e estabelecer persistência. A cadeia de ataque foi descrita por Chainbase Lab e detalhada por pesquisadores citados pelo veículo Cyber Security News.
Como o ataque opera
Segundo o relatório, os operadores começam com mensagens que solicitam ao alvo a confirmação do nome legal da empresa. Após obter uma resposta, enviam um segundo e‑mail de aparente auditoria com um anexo que parece ser um Word ou PDF, mas na verdade é um arquivo AppleScript (ex.: Confirmation_Token_Vesting.docx.scpt), usando dupla extensão para ocultar sua natureza.
Vetor e execução
O AppleScript inicial age como um bootstrap: abre janelas falsas de configurações do sistema e barras de progresso — distraindo o usuário — enquanto executa código em segundo plano. O script coleta informações do sistema (arquitetura CPU, versão do macOS) e baixa estágios adicionais da infraestrutura controlada pelos atacantes, identificada como sevrrhst[.]com, que resolve para o IP 88.119.171.59 e compartilha outros domínios maliciosos.
Evasão e exfiltração
Os pesquisadores notaram que os prompts exibidos imitam diálogos legítimos do macOS e incorporam elementos visuais (como avatares) para convencer o usuário a digitar sua senha administrativa. Assim que a senha é inserida, o script valida localmente e a exfiltra para o servidor remoto usando codificação Base64, segundo a análise citada.
Persistência e escalonamento de privilégios
Além do roubo de credenciais, a campanha tenta modificar a base de dados de privacidade do macOS (TCC) via injeção de SQL, concedendo silenciosamente permissões de câmera, gravação de tela e monitoramento de teclado. Essa técnica permite manter acesso a longo prazo e executar comandos arbitrários por meio de um runtime Node.js instalado na máquina comprometida.
Escopo e infraestrutura
Os domínios de comando foram registrados no final de janeiro de 2026 e apresentam reutilização de infraestrutura — a análise citada verificou mais de dez domínios hospedados no mesmo IP. O relatório público não quantifica o número de vítimas nem identifica organizações afetadas.
O que falta
Não há, na fonte consultada, dados sobre métricas de impacto (número de máquinas comprometidas, setores afetados ou indicadores de comprometimento completos) nem amostras públicas dos estágios posteriores além das descrições técnicas. Também não há confirmação de abusos contra organizações brasileiras.
Recomendações práticas
- Tratar com cautela anexos com dupla extensão e bloquear executáveis de script via e‑mail.
- Habilitar e revisar logs de execução de scripts no macOS e detectar chamadas de rede para domínios suspeitos (ex.: sevrrhst[.]com).
- Inspecionar sinais de alterações na base TCC e monitorar concessões de permissões sensíveis (camera, screen recording, accessibility).
- Testar recuperação e isolamento de endpoints que apresentem processos Node.js não sancionados.
Fonte: Chainbase Lab e análise citada pelo Cyber Security News.
Observação: todas as informações deste artigo foram extraídas diretamente do relatório citado; onde não havia dados públicos disponíveis, isso foi declarado explicitamente.