Vírus para Mac rouba senhas e arquivos usando as próprias ferramentas do sistema

O Mac também é alvo e esse vírus é especialmente silencioso

Existe um mito persistente no mundo da tecnologia: Mac não pega vírus. Ele nunca foi verdade, mas um malware identificado recentemente deixa isso ainda mais claro. O Amos Stealer está sendo usado em campanhas ativas contra usuários e empresas que utilizam computadores Apple, com um método de ataque que dificulta muito a detecção.

A descoberta é da empresa de segurança CyberProof, que identificou a distribuição do malware por meio de downloads falsos, sites fraudulentos e engenharia social ou seja, páginas que imitam softwares legítimos ou mensagens que convencem o usuário a baixar algo.

Como o ataque funciona na prática

O que torna o Amos Stealer perigoso é justamente o que o torna invisível: ele não instala programas estranhos. Em vez disso, abusa de ferramentas que já existem no macOS.

Tudo começa com um comando usando o curl, utilitário nativo do Mac para transferir arquivos pela internet. Esse comando baixa um script malicioso em silêncio sem alertas, sem janelas, sem nada visível na tela. Em seguida, o script aciona o AppleScript, outra ferramenta nativa da Apple, para iniciar a coleta de dados.

O que é coletado é extenso:

• Senhas e cookies salvos no Google Chrome e Microsoft Edge
• Banco de dados do Keychain o gerenciador de senhas integrado ao macOS, que pode conter credenciais corporativas e tokens de autenticação
• Arquivos de configuração como chaves SSH, configurações de Kubernetes e Git itens que abrem acesso a servidores, repositórios e ambientes de nuvem

Tudo é compactado em um único arquivo usando o ditto (mais uma ferramenta nativa do Mac), dividido em partes de 10 MB e enviado ao servidor dos criminosos via HTTP. Se o envio falhar, o sistema tenta novamente até oito vezes.

O detalhe que complica a detecção

Após enviar os dados, o malware apaga os próprios rastros: deleta o arquivo compactado e a pasta temporária criada durante o processo. Isso significa que, em muitos casos, a infecção passa sem deixar evidência visível especialmente em empresas que não monitoram ativamente o que acontece nos seus computadores.

Imagine um colaborador com acesso ao sistema financeiro da empresa usando um Mac sem monitoramento. Um download errado e todas as credenciais corporativas podem estar nas mãos de criminosos antes que alguém perceba.

O que fazer para se proteger

A CyberProof recomenda medidas práticas que qualquer empresa pode adotar:

• Reforçar as políticas do Gatekeeper, o sistema de verificação de aplicativos do macOS, para bloquear programas de fontes não verificadas
• Manter o XProtect atualizado o antimalware nativo da Apple precisa estar sempre na versão mais recente
• Aplicar atualizações de segurança assim que forem lançadas, sem adiar
• Monitorar comandos curl incomuns nos endpoints isso pode identificar tentativas de infecção antes que o malware complete a execução
• Restringir privilégios administrativos nos dispositivos corporativos, reduzindo o impacto de um eventual comprometimento

Em ambientes corporativos, contar com uma solução de proteção avançada que monitore comportamento e não apenas assinaturas de vírus conhecidos faz toda a diferença. Antivírus básico não detecta esse tipo de ataque. A proteção real exige monitoramento contínuo dos endpoints, independentemente do sistema operacional.