Mais de 2.800 sites comprometidos espalham malware com este truque

Gangues de ransomware, que antes se valiam de anexos de e-mails maliciosos e faturas falsas, estão encontrando barreiras devido ao aumento da conscientização dos usuários e ao reforço das defesas dos gateways de e-mail. Em resposta, os criminosos cibernéticos desenvolveram uma tática mais sorrateira, explorando a pequena caixa de seleção “Não sou um robô”, na qual a maioria das pessoas clica sem hesitar.

Uma campanha generalizada, batizada de MacReaper, já comprometeu mais de 2.800 sites legítimos e redireciona os visitantes para um processo de infecção especialmente projetado para computadores Apple. A operação utiliza sinais visuais de confiança, incluindo uma imitação convincente do reCAPTCHA do Google, combinada com um código malicioso oculto na área de transferência, que culmina na instalação do malware Atomic macOS Stealer (AMOS), um ladrão de informações distribuído via Telegram.

Ao acessar um dos sites comprometidos, o usuário de Mac não visualiza a página esperada. Em vez disso, o site exibe uma réplica em tela cheia da familiar caixa do reCAPTCHA do Google. Este reCAPTCHA falso aparenta ser inofensivo, solicitando apenas que o usuário clique em “Não sou um robô”. Contudo, ao clicar na caixa, um comando malicioso é silenciosamente copiado para a área de transferência do sistema. Em seguida, a página exibe uma mensagem amigável, acompanhada de imagens de atalhos de teclado comuns no macOS, instruindo explicitamente o usuário a abrir o Terminal e colar o conteúdo recém-copiado. Caso o usuário siga estas instruções, o comando realiza o download e executa o arquivo malicioso conhecido como Atomic macOS Stealer (AMOS).

Este método de ataque é especificamente direcionado a usuários de Mac. O site verifica o sistema operacional do visitante e somente ativa a infecção se detectar o macOS. Para usuários de Windows ou Linux, o site se comporta de maneira normal. Pesquisadores apelidaram esta técnica de infecção de “ClickFix”, em referência ao único clique que inicia toda a cadeia de ataque.

No centro desta campanha reside o AMOS, um sofisticado malware que ganhou notoriedade nos círculos de cibercrime. O AMOS está disponível para aluguel no Telegram, com algumas versões custando até US$ 3.000 por mês para os atacantes. Uma vez instalado, o AMOS é capaz de roubar uma vasta gama de dados sensíveis: consegue extrair senhas de Wi-Fi e de aplicativos armazenadas no Keychain (o gerenciador de senhas do macOS), coletar cookies de navegador e dados de preenchimento automático, listar informações do sistema e vasculhar pastas pessoais como Desktop e Documentos. Ele também possui a capacidade de identificar e direcionar mais de 50 tipos de carteiras de criptomoedas.

Para se proteger contra a ameaça em evolução do ataque MacReaper, que continua a visar usuários por meio de táticas sofisticadas de engenharia social, especialistas recomendam a implementação de seis medidas essenciais de segurança:

1. Seja cético em relação a prompts de CAPTCHA: Desconfie de reCAPTCHAs inesperados ou que pareçam fora do contexto usual.
2. Não clique em links de e-mails não verificados e use um software antivírus forte: Mantenha seu antivírus atualizado e evite clicar em links suspeitos recebidos por e-mail.
3. Habilite a autenticação em duas etapas: Adicione uma camada extra de segurança às suas contas online.
4. Mantenha os dispositivos atualizados: Atualizações de software frequentemente incluem correções de segurança importantes.
5. Monitore suas contas para atividades suspeitas e mude suas senhas regularmente: Fique atento a qualquer atividade incomum em suas contas e troque suas senhas periodicamente.
6. Invista em um serviço de remoção de dados pessoais: Considere utilizar serviços que ajudam a remover suas informações de sites de agregação de dados.

O MacReaper demonstra claramente que as explorações mais eficazes nem sempre são as vulnerabilidades de dia zero (até então desconhecidas), mas sim os momentos de confiança explorados. A segurança digital se tornou uma necessidade em todas as plataformas, e a complacência continua sendo o sistema operacional mais arriscado de todos.