Pesquisadores do Netskope Threat Labs identificaram uma nova variante da campanha ClickFix direcionada a usuários de macOS, com evolução significativa no nível de sofisticação e impacto da ameaça. Segundo a empresa, o ataque deixou de ter foco exclusivo no roubo de credenciais e passou a permitir também o controle remoto de dispositivos comprometidos.
A nova versão da campanha incorpora um trojan de acesso remoto (RAT), que possibilita acesso persistente ao sistema e execução de comandos por invasores.
Engenharia social e infecção fileless no macOS
De acordo com a análise da Netskope, a cadeia de infecção utiliza técnicas de engenharia social que induzem a vítima a executar comandos no Terminal do macOS.
Após a execução, o malware é carregado diretamente na memória do sistema, caracterizando uma infecção fileless, o que dificulta a detecção por ferramentas tradicionais de segurança.
Entre os dados coletados estão senhas, cookies de sessão, informações de navegadores e credenciais armazenadas no Keychain do macOS.
Nova variante amplia controle e persistência
Além do roubo de informações, a nova variante estabelece mecanismos de persistência que permitem comunicação contínua com servidores controlados pelos invasores.
Isso possibilita execução remota de comandos e amplia o nível de comprometimento do dispositivo, transformando o ataque em uma estrutura de acesso contínuo.
Os pesquisadores também identificaram funcionalidades voltadas ao comprometimento de carteiras de criptomoedas, incluindo substituição de componentes legítimos por versões adulteradas.
Evolução aumenta impacto da campanha ClickFix
Para a Netskope Threat Labs, a evolução da campanha representa uma mudança importante no cenário de ameaças para macOS. O foco deixa de ser apenas a exfiltração de dados e passa a incluir o controle prolongado dos dispositivos infectados.
A empresa destaca que isso aumenta o risco de ataques mais amplos, inclusive em ambientes corporativos, com manutenção de acesso mesmo após a extração inicial de dados.
Recomendações de segurança
A Netskope recomenda que organizações reforcem o bloqueio de domínios maliciosos, adotem mecanismos de proteção contra páginas falsas e invistam em conscientização de usuários.
Também orienta que usuários não executem comandos copiados de sites ou mensagens de suporte técnico, prática comum em ataques baseados em engenharia social.
Além disso, recomenda ampliar a visibilidade sobre atividades suspeitas em dispositivos macOS, como execução de scripts, coleta de credenciais e comunicação com servidores externos.
Mais informações estão disponíveis no relatório oficial da Netskope.
