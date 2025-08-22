Entre junho e agosto de 2025, uma campanha de malvertising direcionada a usuários do macOS tentou distribuir um malware chamado SHAMOS — que é uma variante do conhecido Atomic Stealer (AMOS).

A campanha, segundo informações da CrowdStrike, foi atribuído ao COOKIE SPIDER, um grupo cibercriminoso com motivação financeira que opera uma plataforma de malware como serviço (Malware-as-a-Service, ou MaaS).

De acordo com os pesquisadores, a campanha executou mais de 300 tentativas de invasões ao redor do mundo — as quais foram barradas pela CrowdStrike —, usando páginas de suporte falsas e comandos maliciosos no Terminal para contornar as proteções do macOS e instalar o malware diretamente nos sistemas das vítimas.

Mais precisamente, eram exibidos anúncios fraudulentos em pesquisas sobre solução de problemas do macOS — os quais, aos serem acessados, redirecionavam os usuários para páginas falsas de suporte da Apple que os instruíam a inserir um comando no Terminal.

Às vezes, o comando era escrito em texto simples; já em outras, era disfarçado com codificação Base64. De qualquer forma, ele acionava o mesmo script que capturava a senha da vítima e implantava o binário SHAMOS.

Após a instalação, o malware vasculhava o Mac em busca de arquivos confidenciais, incluindo conteúdos como senhas salvas no iCloud, dados do Safari e do app Notas (Notes).

Para garantir sua persistência, o malware também implantava o processo LaunchDaemons para garantir que fosse reiniciado sempre que o sistema fosse iniciado. Ele também executou verificações para evitar a detecção em ambientes sandbox ou virtuais.

Usuários em geral não precisam entrar em pânico, mas cautela é sempre recomendada. Deve-se, por exemplo, evitar colar comandos do Terminal de sites não verificados, instalar aplicativos apenas da Mac App Store ou de sites de desenvolvedores confiáveis e manter o macOS devidamente atualizado.

via AppleInsider