Campanha macOS ClickFix: AppleScript Stealers & Novas Proteções do Terminal
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O Netskope Threat Labs identificou uma campanha ClickFix multiplataforma que ataca usuários de macOS com um infostealer baseado em AppleScript. O malware é entregue através de uma página de engenharia social enganosa que convence as vítimas a copiar e colar um comando malicioso no Terminal. Uma vez executado, o script coleta conteúdos do chaveiro, cookies do navegador, dados de extensões e arquivos de carteiras de criptomoedas, e então envia as informações roubadas por meio de requisições HTTP POST. A campanha também utiliza caixas de diálogo falsas persistentes para enganar os usuários a inserir suas senhas do sistema.
Investigação
O relatório explica que a página de destino maliciosa primeiro filtra os visitantes por agente de usuário antes de fornecer um carregador AppleScript especificamente adaptado para sistemas macOS. Após a execução, o malware cria um diretório de estagiamento temporário, reúne credenciais e dados relacionados a carteiras, comprime os arquivos coletados com o comando ditto e faz o upload do arquivo compactado para um endereço de comando e controle embutido. Os pesquisadores também documentaram o abuso dos Serviços de Diretório do macOS para validar a senha da vítima em tempo real, junto com a ampla gama de navegadores e aplicações de carteira de criptomoedas alvo.
Mitigação
A Netskope recomenda que os usuários de macOS atualizem para as versões mais recentes do macOS Tahoe 26.4 ou macOS Sequoia, que introduzem avisos nativos no Terminal para comandos colados. Os usuários também devem evitar executar comandos copiados de sites não confiáveis, verificar cuidadosamente todos os prompts de credenciais e habilitar autenticação multifator sempre que possível. As organizações são incentivadas a monitorar diálogos suspeitos conduzidos por AppleScript e tráfego HTTP POST incomum direcionado a infraestruturas desconhecidas.
Resposta
Os defensores devem detectar e bloquear a execução de arquivos AppleScript desconhecidos e observar a criação do diretório de estagiamento /tmp/xdivcmp/ Devem ser configurados alertas para atividades HTTP POST de sistemas macOS para domínios ou endereços IP incomuns. Quaisquer caixas de diálogo recorrentes solicitando senhas do sistema devem ser tratadas como suspeitas, e os endpoints afetados devem ser isolados rapidamente para investigação forense.
Fluxo do Ataque
Detecções
Possível Tentativa de Descoberta de Senhas de Navegador no macOS (via linha de comando)
Visualizar
Validação de Credenciais de macOS via Dscl Authonly (via linha de comando)
Visualizar
Tentativa Suspeita de Execução Curl [macOS] (via linha de comando)
Visualizar
Indicadores de Comprometimento (HashMd5) para detectar: Campanha macOS ClickFix: Roubo com AppleScript & Novas Proteções de Terminal
Visualizar
Indicadores de Comprometimento (SourceIP) para detectar: Campanha macOS ClickFix: Roubo com AppleScript & Novas Proteções de Terminal
Visualizar
Indicadores de Comprometimento (DestinationIP) para detectar: Campanha macOS ClickFix: Roubo com AppleScript & Novas Proteções de Terminal
Visualizar
Infostealer ClickFix do macOS Alvejando Chaveiro e Diretório Temporário [Evento de Arquivo Linux]
Visualizar
Detecção de Infostealer ClickFix do macOS [Criação de Processo Linux]
Visualizar
Execução da Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter passado.
-
Narrativa & Comandos do Ataque:
- Reconhecimento: O atacante primeiro enumera o chaveiro do usuário atual para identificar itens armazenados.
- Despejo de Credenciais: Usando
security dump-keychain, o atacante extrai todo o banco de dados do chaveiro para um arquivo temporário. - Estagiamento: O despejo é copiado para um diretório de estagiamento oculto
/tmp/.xdivcmp/(espelhando o caminho da regra/tmp/xdivcmp/). - Ofuscação: O diretório de estagiamento é marcado como oculto (
chflags hidden). - Preparação para Exfiltração: Os arquivos são comprimidos em
payload.zippronto para transferência de saída.
-
Script de Teste de Regressão:
#!/bin/bash set -euo pipefail # 1. Criar diretório de estagiamento oculto (corresponde ao caminho da regra) STAGING_DIR="/tmp/.xdivcmp" mkdir -p "$STAGING_DIR" chflags hidden "$STAGING_DIR" # 2. Despejar o chaveiro (requer interação do usuário; simulado com uma cópia do BD) KEYCHAIN_SRC="/Users/$(whoami)/Library/Keychains/login.keychain-db" KEYCHAIN_DUMP="${STAGING_DIR}/login.keychain-db.dump" # Simular despejo copiando o BD (realmente um atacante usaria `security dump-keychain`) cp "$KEYCHAIN_SRC" "$KEYCHAIN_DUMP" # 3. Comprimir para exfiltração zip -j "${STAGING_DIR}/payload.zip" "$KEYCHAIN_DUMP" echo "[+] Simulação ClickFix completa – artefatos de estagiamento colocados em $STAGING_DIR" -
Comandos de Limpeza:
#!/bin/bash set -euo pipefail STAGING_DIR="/tmp/.xdivcmp" if [[ -d "$STAGING_DIR" ]]; then rm -rf "$STAGING_DIR" echo "[+] Diretório de estagiamento limpo." else echo "[*] Nenhum diretório de estagiamento encontrado; nada a limpar." fi