SOC Prime Bias: Médio

22 Apr 2026 15:47 UTC

Campanha macOS ClickFix: AppleScript Stealers & Novas Proteções do Terminal

Author Photo
SOC Prime Team linkedin icon Seguir
Campanha macOS ClickFix: AppleScript Stealers & Novas Proteções do Terminal
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O Netskope Threat Labs identificou uma campanha ClickFix multiplataforma que ataca usuários de macOS com um infostealer baseado em AppleScript. O malware é entregue através de uma página de engenharia social enganosa que convence as vítimas a copiar e colar um comando malicioso no Terminal. Uma vez executado, o script coleta conteúdos do chaveiro, cookies do navegador, dados de extensões e arquivos de carteiras de criptomoedas, e então envia as informações roubadas por meio de requisições HTTP POST. A campanha também utiliza caixas de diálogo falsas persistentes para enganar os usuários a inserir suas senhas do sistema.

Investigação

O relatório explica que a página de destino maliciosa primeiro filtra os visitantes por agente de usuário antes de fornecer um carregador AppleScript especificamente adaptado para sistemas macOS. Após a execução, o malware cria um diretório de estagiamento temporário, reúne credenciais e dados relacionados a carteiras, comprime os arquivos coletados com o comando ditto e faz o upload do arquivo compactado para um endereço de comando e controle embutido. Os pesquisadores também documentaram o abuso dos Serviços de Diretório do macOS para validar a senha da vítima em tempo real, junto com a ampla gama de navegadores e aplicações de carteira de criptomoedas alvo.

Mitigação

A Netskope recomenda que os usuários de macOS atualizem para as versões mais recentes do macOS Tahoe 26.4 ou macOS Sequoia, que introduzem avisos nativos no Terminal para comandos colados. Os usuários também devem evitar executar comandos copiados de sites não confiáveis, verificar cuidadosamente todos os prompts de credenciais e habilitar autenticação multifator sempre que possível. As organizações são incentivadas a monitorar diálogos suspeitos conduzidos por AppleScript e tráfego HTTP POST incomum direcionado a infraestruturas desconhecidas.

Resposta

Os defensores devem detectar e bloquear a execução de arquivos AppleScript desconhecidos e observar a criação do diretório de estagiamento /tmp/xdivcmp/ Devem ser configurados alertas para atividades HTTP POST de sistemas macOS para domínios ou endereços IP incomuns. Quaisquer caixas de diálogo recorrentes solicitando senhas do sistema devem ser tratadas como suspeitas, e os endpoints afetados devem ser isolados rapidamente para investigação forense.

Fluxo do Ataque

Execução da Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter passado.

  • Narrativa & Comandos do Ataque:

    1. Reconhecimento: O atacante primeiro enumera o chaveiro do usuário atual para identificar itens armazenados.
    2. Despejo de Credenciais: Usando security dump-keychain, o atacante extrai todo o banco de dados do chaveiro para um arquivo temporário.
    3. Estagiamento: O despejo é copiado para um diretório de estagiamento oculto /tmp/.xdivcmp/ (espelhando o caminho da regra /tmp/xdivcmp/ ).
    4. Ofuscação: O diretório de estagiamento é marcado como oculto (chflags hidden).
    5. Preparação para Exfiltração: Os arquivos são comprimidos em payload.zip pronto para transferência de saída.
  • Script de Teste de Regressão:

    #!/bin/bash
    set -euo pipefail
    
    # 1. Criar diretório de estagiamento oculto (corresponde ao caminho da regra)
    STAGING_DIR="/tmp/.xdivcmp"
    mkdir -p "$STAGING_DIR"
    chflags hidden "$STAGING_DIR"
    
    # 2. Despejar o chaveiro (requer interação do usuário; simulado com uma cópia do BD)
    KEYCHAIN_SRC="/Users/$(whoami)/Library/Keychains/login.keychain-db"
    KEYCHAIN_DUMP="${STAGING_DIR}/login.keychain-db.dump"
    
    # Simular despejo copiando o BD (realmente um atacante usaria `security dump-keychain`)
    cp "$KEYCHAIN_SRC" "$KEYCHAIN_DUMP"
    
    # 3. Comprimir para exfiltração
    zip -j "${STAGING_DIR}/payload.zip" "$KEYCHAIN_DUMP"
    
    echo "[+] Simulação ClickFix completa – artefatos de estagiamento colocados em $STAGING_DIR"
  • Comandos de Limpeza:

    #!/bin/bash
    set -euo pipefail
    
    STAGING_DIR="/tmp/.xdivcmp"
    
    if [[ -d "$STAGING_DIR" ]]; then
        rm -rf "$STAGING_DIR"
        echo "[+] Diretório de estagiamento limpo."
    else
        echo "[*] Nenhum diretório de estagiamento encontrado; nada a limpar."
    fi