Ataques ClickFix visa Macs com páginas falsas da Cloudflare

Uma nova campanha maliciosa está a visar utilizadores de macOS através de uma técnica de engenharia social conhecida como ClickFix, recorrendo a páginas falsas inspiradas na Cloudflare para distribuir o malware Infiniti Stealer.

Segundo a Malwarebytes, o ataque começa com uma página de CAPTCHA falsa que imita um sistema legítimo de verificação humana. O utilizador é instruído a copiar e executar um comando no Terminal, alegadamente para validar o acesso.

Ao executar o comando, a vítima descarrega um script Bash a partir de um servidor remoto. Este script descodifica um payload, grava um ficheiro temporário, remove mecanismos de proteção do sistema e executa o código malicioso.

O processo inclui ainda a passagem de dados de controlo e autenticação para servidores externos, a eliminação de vestígios e o fecho automático do Terminal, dificultando a deteção.

O ficheiro instalado atua como um loader compilado com Nuitka, uma ferramenta que converte código Python em binários nativos, tornando a análise mais complexa. Este componente descomprime dados adicionais e executa o malware final, identificado como Infiniti Stealer.

O malware tem como objetivo roubar informação sensível, incluindo credenciais de browsers, dados do Keychain, carteiras de criptomoedas, ficheiros de desenvolvimento e capturas de ecrã.

Os dados recolhidos são enviados para servidores de comando e controlo através de pedidos HTTP, sendo posteriormente encaminhados para canais no Telegram e preparados para exploração adicional.

Para evitar deteção, o Infiniti Stealer utiliza atrasos aleatórios na execução e verifica se está a correr em ambientes de análise.

A Malwarebytes alerta que esta campanha demonstra a evolução de técnicas inicialmente usadas em Windows, agora adaptadas para macOS, com métodos mais sofisticados de ocultação. A empresa admite que, caso esta abordagem se revele eficaz, poderão surgir mais ataques semelhantes direcionados a utilizadores Apple.