JSCoreRunner: novo malware para macOS mira usuários do Chrome

Bruno Cardoso
27/08/2025 • 16:15
Leitura de 2 minuto

A firma de segurança Mosyle encontrou recentemente um novo malware para macOS chamado JSCoreRunner, o qual tem como foco usuários do navegador Google Chrome e explora a popularidade de sites e apps de conversão de arquivos.

Classificada com um cavalo de Troia/adware, a ameaça é distribuída por meio de um site falso (fileripple[.]com), vendido como sendo de uma ferramenta legítima de edição de PDFs.

Segundo a empresa, o JSCoreRunner atua em duas fases: primeiro, ele faz a vítima baixar um instalador (FileRipple.pkg), o qual seria da ferramenta supracitada — mas que, na verdade, serve para executar uma série de códigos maliciosos os quais baixam outro instalador (Safari14.1.2MojaveAuto.pkg) em segundo plano.

Em um segundo momento, o malware passa a mirar, como dito, o Chrome, alterando o motor de busca padrão para uma alternativa fraudulenta — expondo, assim, tudo o que o usuário pesquisa na internet, além de redirecioná-lo para sites de phishing e outras página escusas.

Segundo os pesquisadores, a Apple já revogou o certificado de desenvolvedor por trás do primeiro instalador (FileRipple.pkg), fazendo com que o macOS o bloqueie assim que a vítima tenta executá-lo. O segundo instalador (Safari14.1.2MojaveAuto.pkg), porém, não é assinado pela Maçã, o que faz com que ele passe despercebido pelo Gatekeeper.

O objetivo principal do JSCoreRunner neste momento [após sua instalação] é sequestrar o navegador do usuário. Especificamente, o malware tem como alvo perfis do Google Chrome no macOS, percorrendo a pasta ~/Library/Application Support/Google/Chrome/ para identificar o perfil padrão e quaisquer perfis adicionais. O malware modifica as configurações do mecanismo de busca criando um novo objeto TemplateURL, que define a URL de busca, a URL da nova aba e o nome de exibição. Isso permite que o malware redirecione os usuários para um mecanismo de busca fraudulento. Para evitar a detecção e ocultar suas atividades, o malware também passa argumentos para o Chrome para ocultar logs de travamento e o balão “restaurar última sessão”.

A Mosyle, vale notar, compartilhou os hashes do JSCoreRunner (publicados pelo 9to5Mac) para que administradores de Macs possam adicioná-los às suas ferramentas de segurança. Usuários, comuns, por outro lado, devem evitar sites suspeitos de conversão de arquivos e edição de PDFs, os quais estão se tornando alvos cada vez mais frequentes de cibercriminosos.

Bruno Cardoso
Paulista e formado em Design pela Universidade São Judas Tadeu (USJT), acompanha o mundo Apple de perto desde os 11 anos de idade, quando assistiu a um evento de apresentação de um iPhone pela primeira vez. Atualmente, escreve para o MacMagazine de um MacBook Air de 13 polegadas (M2).
