ClickFix espalha malware MacSync no macOS usando falsos apps de IA

Campanhas da ClickFix estão sendo usadas para disseminar o roubo de informações por meio do malware MacSync no macOS, utilizando instaladores falsos de ferramentas de IA como isca.

Pesquisadores identificaram três campanhas distintas que exploram a técnica ClickFix como vetor de distribuição desse infostealer voltado ao macOS.

• Leia também: Todo site com cadeado é seguro? Entenda por que o HTTPS não garante proteção
• Leia também: Golpe do CAPTCHA falso: como hackers enganam usuários e instalam malware
• Leia também: Google Pomelli: nova IA cria artes e campanhas de marketing automaticamente

Diferente de ataques tradicionais, que exploram vulnerabilidades do sistema, esse método depende diretamente da interação do usuário. Na maioria dos casos, a vítima é induzida a copiar e executar comandos no Terminal. Essa abordagem aumenta a eficácia do ataque, especialmente entre usuários que não compreendem os riscos de executar comandos desconhecidos ou ofuscados.

Segundo pesquisadores da Sophos — Jagadeesh Chandraiah, Tonmoy Jitu, Dmitry Samosseiko e Matt Wixey — ainda não é possível afirmar se todas as campanhas são operadas pelo mesmo grupo criminoso.

Além disso, o uso de iscas ClickFix para distribuir malware já havia sido observado anteriormente pelo Jamf Threat Labs, em dezembro de 2025.

Detalhes das campanhas identificadas

Novembro de 2025:
Uma campanha utilizou o navegador ChatGPT Atlas, da OpenAI, como isca. Os criminosos promoveram links patrocinados no Google que redirecionam usuários para páginas falsas hospedadas no Google Sites.

Ao clicar no botão de download, a vítima recebia instruções para abrir o Terminal e executar um comando. Esse comando baixava um script malicioso que solicitava a senha do sistema e instalava o MacSync com permissões de usuário.

Dezembro de 2025:
Outra campanha utilizou malvertising com termos como “como limpar seu Mac”. Os anúncios levavam usuários a páginas legítimas do ChatGPT com conversas compartilhadas, criando uma falsa sensação de segurança.

Essas conversas redirecionam para páginas maliciosas com aparência do GitHub. Nelas, os usuários eram induzidos a executar comandos perigosos no Terminal.

Fevereiro de 2026:
A campanha mais recente teve como alvo usuários na Bélgica, Índia e regiões da América do Norte e do Sul.

Essa variante do MacSync trouxe melhorias significativas, incluindo:

• uso de payloads dinâmicos em AppleScript
  
• execução diretamente na memória
  
• técnicas para evitar detecção por ferramentas de segurança
  

Essas características dificultam análises e respostas a incidentes.

Como o ataque funciona

Após a execução do comando no Terminal, um script entra em ação. Ele se conecta a um servidor controlado pelos atacantes e baixa o payload malicioso.

Ao mesmo tempo, o malware tenta apagar rastros da infecção.

O MacSync é capaz de coletar diversos tipos de dados sensíveis, incluindo:

• credenciais armazenadas
  
• arquivos locais
  
• dados do chaveiro do macOS
  
• frases-semente de carteiras de criptomoedas
  

Evolução das técnicas de ataque

As evidências indicam que os atacantes estão adaptando constantemente suas estratégias. O objetivo é contornar mecanismos de segurança e explorar a confiança dos usuários em plataformas legítimas, como o ChatGPT.

De acordo com a Sophos, essa evolução demonstra um esforço contínuo para manter a eficácia dos ataques, mesmo diante de melhorias nas defesas dos sistemas.

Nos últimos meses, campanhas ClickFix também passaram a utilizar plataformas confiáveis como:

• Cloudflare Pages
  
• Squarespace
  
• Tencent EdgeOne
  

Esses serviços hospedam páginas falsas que simulam instruções legítimas de instalação de ferramentas como o Claude Code, da Anthropic.

ClickFix, InstallFix e novas variantes

Essas campanhas fazem parte de uma evolução das técnicas conhecidas como ClickFix, também chamadas de InstallFix ou GoogleFix.

Diferente de golpes tradicionais, que utilizam mensagens falsas ou CAPTCHAs fraudulentos, essa abordagem se baseia em um cenário aparentemente legítimo: a instalação de um software real.

Isso torna o ataque mais convincente.

Segundo a Guardio Labs, essas cadeias de infecção podem levar à instalação de diferentes malwares, como:

• Alien infostealer (Windows)
  
• Atomic Stealer (macOS)
  

Em alguns casos, o ataque utiliza arquivos HTA maliciosos e carregadores .NET ofuscados para executar o malware diretamente na memória.

Por que desenvolvedores são alvo

Pesquisadores da Pillar Security identificaram pelo menos 20 campanhas focadas em ferramentas de IA entre fevereiro e março de 2026.

Esses ataques foram principalmente:

• editores de código
  
• agentes de IA
  
• extensões de navegador
  
• ferramentas de desenvolvimento
  

Usuários de macOS são alvos frequentes porque geralmente possuem dados valiosos, como:

• chaves SSH
  
• tokens de acesso à nuvem
  
• carteiras de criptomoedas
  

Além disso, o padrão de instalação via comando (curl | sh) é comum no ambiente de desenvolvimento, o que facilita o sucesso do golpe.

Outras campanhas relacionadas

A técnica ClickFix também está sendo usada por outros grupos, como o KongTuke (404 TDS), que distribui o malware ModeloRAT por meio de sites WordPress comprometidos.

Nesses casos, os atacantes inserem scripts maliciosos em páginas legítimas para induzir usuários a executar comandos no PowerShell.

Outras variações incluem:

• páginas falsas imitando erros do navegador
  
• CAPTCHAs fraudulentos
  
• downloads disfarçados de softwares populares
  
• extensões maliciosas de navegador
  

Essas campanhas podem resultar na instalação de malwares como:

• Remcos RAT
  
• CastleRAT
  
• SHub Stealer
  

Alcance global e impacto

A Rapid7 identificou mais de 250 sites comprometidos em pelo menos 12 países, incluindo:

• Brasil
  
• Estados Unidos
  
• Alemanha
  
• Reino Unido
  
• Canadá
  

Esses sites incluem portais de notícias e empresas locais, o que aumenta a credibilidade das iscas.

Os ataques visam principalmente a instalação de malwares como:

• StealC
  
• Vidar Stealer
  
• Impure Stealer
  
• VodkaStealer
  

Esses programas são usados para roubo de dados e podem servir como ponto de entrada para ataques financeiros ou invasões mais complexas.

Como se proteger

Embora o método de invasão dos sites WordPress ainda não esteja totalmente claro, suspeita-se que envolva:

• vulnerabilidades em plugins e temas
  
• credenciais comprometidas
  
• acesso indevido ao painel administrativo
  

Para reduzir riscos, recomenda-se:

• manter o WordPress sempre atualizado
  
• utilizar senhas fortes
  
• ativar autenticação em dois fatores (2FA)
  
• revisar contas administrativas regularmente
  

Para usuários finais, a principal defesa é adotar uma postura de desconfiança:

• nunca execute comandos desconhecidos no Terminal
  
• evite baixar softwares fora de fontes oficiais
  
• desconfie de instruções copiadas da internet
  
• mantenha soluções de segurança ativas
  

As campanhas ClickFix mostram como os ataques estão evoluindo rapidamente. Em vez de explorar falhas técnicas, os criminosos exploram o comportamento humano.

Mesmo sites confiáveis podem ser comprometidos e usados como vetor de ataque.

Por isso, a conscientização do usuário continua sendo uma das principais linhas de defesa contra ameaças modernas.

Fonte: The Hacker News —https://thehackernews.com/2026/03/clickfix-campaigns-spread-macsync-macos.html?m=1

Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem de sites