Campanhas de infostealers adaptam-se ao macOS e exploram o fator humano

As ameaças de infostealer, tradicionalmente associadas a sistemas Windows, estão a evoluir e a visar de forma crescente máquinas macOS, num sinal claro de que os atacantes estão a adaptar as suas técnicas à diversificação dos ambientes empresariais. A conclusão é do Microsoft Defender Security Research Team, que alerta para campanhas ativas dirigidas a utilizadores de macOS desde o final de 2024.

De acordo com a Microsoft, estas campanhas recorrem a linguagens multiplataforma, como Python, e abusam de plataformas e utilitários de confiança para distribuir malware de forma discreta. Entre as técnicas observadas estão esquemas de engenharia social do tipo ClickFix e instaladores DMG maliciosos, que acabam por instalar infostealers específicos de macOS, como DigitStealer, MacSync e o Atomic macOS Stealer (AMOS).

Para Shane Barney, Chief Information Security Officer da Keeper Security, o sucesso deste tipo de ataques reside menos na exploração de falhas técnicas e mais na forma como exploram o comportamento humano após o acesso inicial. “Estes atacantes não estão a tentar contornar os controlos de segurança do macOS”, explica. “Estão a evitá-los deliberadamente, convencendo os utilizadores a instalar software ou a executar comandos que parecem legítimos. A partir desse momento, o sistema operativo passa para segundo plano.”

Segundo Barney, ao recorrerem a ferramentas nativas, linguagens de script amplamente utilizadas e canais de distribuição aparentemente fiáveis, os atacantes conseguem misturar-se com a atividade normal e reduzir drasticamente a probabilidade de deteção. “O verdadeiro objetivo é recolher silenciosamente credenciais, tokens de sessão e segredos de desenvolvimento que possam ser reutilizados mais tarde”, acrescenta.

Robert Coles, senior cybersecurity engineer da Black Duck, sublinha que os infostealers se afirmaram como uma das ferramentas de acesso inicial mais eficazes no arsenal dos cibercriminosos. “Durante muito tempo, este foi visto como um problema exclusivo do Windows, mas hoje a ameaça opera de forma transversal entre Windows e macOS”, afirma, destacando o papel das linguagens multiplataforma nesta transição.

Ao contrário de ataques baseados na exploração direta de vulnerabilidades, Coles explica que estas campanhas dependem sobretudo da persuasão do utilizador. “Não é o ataque clássico a uma falha de software. O utilizador é levado a executar um utilitário de sistema ‘para resolver um problema’ ou a instalar uma aplicação aparentemente legítima, mas adulterada”, refere.

A distribuição do malware recorre frequentemente a malvertising, campanhas de phishing e falsos pedidos de atualização de software. Uma vez executada, a aplicação comprometida recolhe credenciais de navegadores, cookies e tokens de sessão, permitindo contornar mecanismos de autenticação multifator (MFA). São igualmente visados dados financeiros, criptoativos e credenciais de cloud, desenvolvimento e API.

“O uso destas credenciais roubadas pode conduzir a tomadas de controlo de contas em plataformas SaaS e cloud”, alerta Coles. “E abre ainda a porta a ataques subsequentes, como ransomware ou esquemas de business email compromise.”

A evolução destas campanhas reforça a necessidade de as organizações tratarem o macOS como um alvo plenamente integrado no panorama de ameaças, abandonando a perceção de que determinados sistemas operativos oferecem, por si só, uma proteção suficiente contra ataques centrados no utilizador.