Um infostealer sofisticado para macOS conhecido como MioLab — também rastreado como Nova — emergiu como uma das plataformas de Malware-as-a-Service (MaaS) mais avançadas direcionando usuários da Apple. Publicitado em fóruns subterrâneos de língua russa, o MioLab marca uma mudança na paisagem de ameaças, provando que o macOS não é mais um alvo de baixo risco. À medida que a participação de mercado da Apple cresce entre engenheiros de software, executivos e investidores em criptomoedas, os atacantes agora tratam os Macs como superfícies de ataque altamente lucrativas.
Capacidades e evolução do malware
O malware usa um painel web amigável e um payload C leve que compila para cerca de 100 KB. Esse tamanho magro ajuda a evitar a detecção baseada em assinatura de antivírus básico. Ele suporta arquiteturas Intel x86-64 e Apple Silicon ARM64, executando em versões do macOS desde a Sierra até a Tahoe. As capacidades do MioLab incluem roubo de credenciais do navegador, drenagem de carteiras de criptomoedas, colheita de gerenciadores de senhas e coleta de arquivos. Um módulo de adição premium direciona carteiras de hardware como Ledger e Trezor, capaz de roubar as 24 palavras da frase de recuperação BIP39 de uma vítima.
Analistas da LevelBlue identificaram o MioLab como uma ameaça em rápida evolução, observando que seu ritmo de desenvolvimento é incomumente rápido para um infostealer. Revisando os changelogs até fevereiro de 2026, os pesquisadores confirmaram atualizações críticas, incluindo um módulo de extração de carteira de hardware reconstruído, decodificação de Apple Notes no dispositivo, um coletor de cookies Safari funcional e uma API Team completa. Esta API permite que equipes criminosas gerem payloads programaticamente e baixem logs roubados sem fazer login no painel.
ClickFix: Engenharia social através do Terminal
Uma das adições mais notáveis do MioLab é sua cadeia de infecção ClickFix — uma técnica que engana as vítimas para executarem comandos maliciosos em seu próprio Terminal do macOS. O painel inclui uma utilidade de um clique onde os operadores inserem suas credenciais de servidor, e o sistema produz instantaneamente um payload de Terminal pronto para implantação através de páginas de CAPTCHA falsas ou portais de desenvolvedor clonados. Pouco antes da publicação, o pesquisador Marcelo Rivero identificou uma campanha de malvertising ao vivo distribuindo o MioLab através de uma clonagem convincente do site de documentação do Claude Code, uma ferramenta de IA de linha de comando legítima da Anthropic.
A campanha foi precisamente elaborada para alvos de alto valor — desenvolvedores já confortáveis em executar comandos do Terminal. O site clonado serviu instruções de instalação inteiramente legítimas para visitantes do Windows, passando pela inspeção visual limpa. Para usuários do macOS, no entanto, entregou um payload estilo ClickFix. A primeira etapa dependeu de uma URL mascarada em Base64 que, uma vez decodificada e executada, lançou um carregador curl para buscar o payload Mach-O, deixá-lo em /tmp e executar um comando xattr -c para remover o atributo de Quarentena da Apple e contornar o Gatekeeper.
Exfiltração e infraestrutura de comando
Uma vez passado o Gatekeeper, o malware matou janelas do Terminal abertas e exibiu um diálogo de senha falso de Preferências do Sistema através do AppleScript, enganando os usuários para inserirem suas credenciais de login. A senha capturada foi então verificada contra o serviço de diretório local usando a utilidade dscl. Uma vez confirmada, o MioLab começou a coletar cookies do navegador, senhas, arquivos de carteira de criptomoedas, Apple Notes, dados de sessão do Telegram e documentos das pastas Desktop e Downloads do usuário, antes de comprimir tudo em um arquivo ZIP e enviá-lo para o servidor de comando e controle do atacante.
A análise de infraestrutura revelou que os operadores do MioLab executam um ecossistema de cibercrime mais amplo. O painel administrativo do malware foi anteriormente hospedado no playavalon[.]org, agora rotacionado para servir uma campanha de phishing de airdrop de token Ethereum, convertendo tráfego residual de indicadores antigos em fraude fresca. Ambas as operações rastreiam de volta à FEMO IT Solutions Ltd., um provedor de hospedagem bulletproof sob a marca Defhost, protegendo múltiplas famílias de malware das forças da lei.
Medidas de mitigação recomendadas
Para se defender contra o MioLab, equipes de segurança e usuários devem impor as seguintes medidas protetivas. Usuários devem ser treinados para questionar prompts de senha inesperados de aplicativos baixados recentemente. Equipes de segurança devem bloquear ou monitorar utilitários de sistema sensíveis — como dscl, osascript e system_profiler — quando chamados por aplicativos não assinados. O acesso a diretórios de perfil do navegador e ao arquivo de Keychain do macOS login.keychain-db deve ser estritamente auditado.
Dominios maliciosos conhecidos, incluindo socifiapp[.]com, devem ser bloqueados, e quaisquer solicitações POST de curl suspeitas para APIs externas devem ser sinalizadas e investigadas. A restrição de execução de comandos no Terminal para usuários não privilegiados e a monitoração de chamadas de sistema como xattr são essenciais para prevenir a bypass do Gatekeeper.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar as políticas de execução de scripts no macOS e garantir que o Terminal não seja acessível para execução de comandos sem supervisão. A auditoria de processos que chamam utilitários de sistema como dscl e osascript deve ser implementada. Além disso, a proteção de carteiras de criptomoedas deve incluir a verificação de integridade de arquivos e a monitoração de tráfego de saída para domínios suspeitos.