Uma campanha de engenharia social sofisticada está visando usuários do macOS com uma variante evoluída da técnica de ataque ClickFix. Batizada de "Matryoshka", em referência às bonecas russas, essa nova variante utiliza camadas de ofuscação aninhadas para esconder código malicioso de scanners de segurança e sistemas de análise automatizada.
O vetor de ataque
O ataque se baseia em domínios de typosquatting para interceptar usuários que digitam incorretamente endereços de sites legítimos, especialmente aqueles que tentam acessar sites de análise de software. Ao serem redirecionados para um domínio fraudulento, as vítimas encontram um prompt de instalação falso que as instrui a colar um comando de "correção" no Terminal do macOS. Analistas da Intego identificaram essa cadeia de ataque após observar domínios como comparisions[.]org, que imita o site legítimo comparisons.org adicionando uma letra extra.
Mecanismo de infecção e táticas de evasão
Ao contrário de variantes anteriores do ClickFix que usavam scripts legíveis, a Matryoshka emprega técnicas de evasão avançadas. A carga maliciosa permanece codificada e compactada até a execução, "explodindo" apenas na memória, sem gravar arquivos de script limpos no disco. Isso reduz significativamente a visibilidade para varreduras de segurança baseadas em arquivo.
Quando as vítimas colam o comando malicioso no Terminal, ele recupera um shell script contendo uma grande carga útil codificada. Essa carga passa por um pipeline na memória, onde é decodificada e descompactada sem criar artefatos de arquivo facilmente detectáveis. O carregador também demonstra comportamentos de evasão inteligentes, como desanexar sua rotina principal para segundo plano e sair rapidamente, fazendo o prompt do Terminal retornar quase imediatamente.
Objetivo final: roubo de credenciais e criptomoedas
Após a execução bem-sucedida, o carregador recupera uma carga útil em AppleScript projetada especificamente para coletar credenciais de navegadores e atacar aplicativos de carteiras de criptomoedas, incluindo Trezor Suite e Ledger Live. O malware tenta primeiro o roubo programático de credenciais e, em caso de falha, recorre à exibição de diálogos falsos do sistema que solicitam senhas repetidamente até que a vítima as forneça.
Recomendações de proteção
Os usuários nunca devem colar comandos de sites no Terminal, pois atualizações de software legítimas não exigem essa ação. Organizações devem:
- Bloquear domínios de typosquatting.
- Monitorar padrões de execução iniciados pelo Terminal.
- Observar arquivos de staging suspeitos ou adulteração em aplicativos de carteira.
A infraestrutura de comando e controle também requer cabeçalhos personalizados específicos nas requisições, respondendo com erros genéricos a scanners automatizados que não possuem as credenciais adequadas, dificultando a análise.