ClickLock: o malware que bloqueia o seu Mac até revelar a palavra-passe

Basta colar um comando no Terminal. É esse o único momento de confiança de que o novo malware ClickLock precisa para tomar conta de um Mac — e a Europa é, de longe, a região mais atingida. Descoberto pela Group-IB, este ladrão de informação para macOS não usa qualquer falha de segurança nem privilégios elevados: prende literalmente o utilizador diante de uma janela de palavra-passe falsa, encerrando todas as aplicações visíveis até a vítima ceder. Já fez pelo menos 100 vítimas em 33 países, mais de metade delas na Europa.

Em resumo: o ClickLock é um novo malware para macOS analisado pela Group-IB. Chega através da técnica ClickFix — uma página falsa que pede para colar um comando no Terminal — e não precisa de qualquer exploração de vulnerabilidades. Mostra uma janela de palavra-passe falsa com o nome real do utilizador; se este recusar, o sistema entra num ciclo que encerra todas as aplicações a cada 210 milissegundos, deixando apenas a janela de palavra-passe no ecrã. Rouba palavras-passe, dados de gestores de palavras-passe, carteiras de criptomoedas e a chave de encriptação do Chrome, exfiltra tudo via Telegram e instala uma backdoor persistente. A regra de ouro: nenhum site legítimo pede para colar comandos no Terminal.

Tudo começa com um comando colado no Terminal

O ClickLock chega pela técnica conhecida como ClickFix: uma página fraudulenta convence o utilizador a copiar um comando e colá-lo na aplicação Terminal do macOS, normalmente sob o pretexto de uma “verificação de segurança” ou da resolução de um problema. É um vetor que contorna as defesas tradicionais precisamente porque não depende de anexos nem de ligações maliciosas — depende apenas de persuadir a pessoa a executar, com as próprias mãos, uma ação aparentemente inofensiva.

Assim que o comando é colado, o guião (script) desativa as interrupções de teclado, esconde o cursor e apresenta uma falsa barra de progresso ao estilo da “verificação humana” da Cloudflare, com mensagens como “a verificar se não é um robô”. É pura encenação: enquanto a vítima observa a animação, o malware descarrega em segundo plano os seus vários módulos a partir de sites WordPress legítimos que foram comprometidos. Durante cerca de seis horas, o Centro de Notificações do macOS é silenciado, para que nenhum alerta de segurança chegue ao ecrã.

A Group-IB batizou o malware juntando as duas técnicas que o definem: o ClickFix da entrada e o comportamento de “locker” — o bloqueio do sistema — que se segue. Não é a primeira ameaça do género a chegar aos Macs portugueses: em maio noticiámos o PamStealer, que também validava as palavras-passe antes de as roubar, e antes disso o esquema ConsentFix/ClickFix aplicado a contas Microsoft 365.

O truque: prender o utilizador até ele digitar a palavra-passe

É aqui que o ClickLock se distingue. O malware começa por uma abordagem “suave”: mostra uma janela de palavra-passe falsa, construída para ser indistinguível de um pedido genuíno do sistema — usa o nome de utilizador real da vítima e um ícone da Apple descarregado para o efeito. Se a pessoa escrever a palavra-passe, esta é validada contra o próprio sistema e enviada de imediato para o atacante através do Telegram.

Mas o mais engenhoso acontece se a vítima recusar e fechar a janela. Nesse caso, o malware instala mecanismos de persistência (dois LaunchAgents do macOS) e, no arranque seguinte, ativa aquilo a que a Group-IB chama o ciclo de coação. A cada 210 milissegundos, um processo encerra todas as aplicações que a pessoa poderia usar para investigar ou interromper o ataque: Finder, Dock, Terminal, Monitor de Atividade, Consola, Definições do Sistema, Spotlight e todos os navegadores. O ambiente de trabalho fica completamente inutilizável, com a janela de palavra-passe falsa como único elemento no ecrã. O ciclo está programado para durar cerca de 83 horas — ou até a vítima ceder e escrever a palavra-passe correta.

Um segundo módulo aplica a mesma técnica de bloqueio para forçar a aprovação de um pedido — este, sim, verdadeiro — de acesso ao Porta-chaves (Keychain) do macOS. O objetivo é obter a chave de encriptação do Chrome, que permite decifrar, já sem pressa e fora do computador da vítima, todas as palavras-passe, cookies e dados de preenchimento automático guardados no navegador. Este segundo ciclo pode prolongar-se por quase 35 dias.

Como atua o ClickLock, passo a passo1Página falsaClickFix pede para colarum comando no Terminal2DistraçãoFalsa barra Cloudflare;módulos descarregados3CoaçãoEncerra tudo a cada 210msaté digitar a palavra-passe4RouboPasswords, cripto, Keychainenviados via Telegram5BackdoorGSocket garante acessoremoto permanenteFonte: Group-IB, análise do ClickLock Stealer, julho de 2026

O que o ClickLock rouba

Enquanto mantém a vítima ocupada com a janela de palavra-passe, um módulo de recolha vasculha o sistema. A lista de alvos, confirmada pela análise da Group-IB, é extensa: dados de oito navegadores (Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc e Chromium), incluindo palavras-passe guardadas, cookies, dados de preenchimento automático e favoritos; 31 extensões de carteiras de criptomoedas e oito aplicações de carteira para computador; dados de sete gestores de palavras-passe (entre eles Bitwarden, LastPass, 1Password, NordPass, Dashlane e Keeper); a Keychain do macOS; endereços de criptomoedas em seis blockchains diferentes (EVM, Bitcoin, Solana, TRON, TON e Stacks); históricos da linha de comandos; e credenciais de FTP do FileZilla.

Tudo isto é empacotado num ficheiro ZIP e enviado para o atacante através da API de bots do Telegram — uma escolha que dispensa infraestrutura própria e dificilmente é bloqueada pelos filtros de rede. Ficheiros com mais de 40 MB são divididos automaticamente, e o envio é repetido até ser bem-sucedido, mesmo que a ligação falhe temporariamente. O perfil dos dados visados aponta claramente para um alvo prioritário: quem detém criptomoedas. Mas qualquer utilizador de Mac com contas online de valor é um alvo apetecível.

O último módulo é uma backdoor: uma versão ligeiramente modificada da ferramenta de código aberto GSocket, que abre um canal de acesso remoto permanente ao sistema, disfarçado de processo do iCloud. Ao contrário dos restantes componentes, que se autoapagam após cumprirem a sua função e não deixam rasto, a backdoor é a única peça que permanece instalada — garantindo ao atacante acesso contínuo mesmo depois de todo o resto desaparecer.

Porque é que isto importa em Portugal

Há uma razão concreta para os utilizadores portugueses prestarem atenção: a Group-IB indica que mais de metade das vítimas identificadas estão na Europa, seguindo-se a América do Norte e a região do Médio Oriente e África. A distribuição é coerente com uma campanha de motivação financeira, dirigida a regiões de rendimento elevado onde a adoção de criptomoedas e a quota de mercado do macOS são altas — um perfil em que Portugal se enquadra.

Persiste também um mito perigoso: o de que “os Macs não apanham vírus”. O ClickLock é a prova de que a plataforma não é imune e, mais importante, de que a técnica usada nem sequer precisa de contornar as proteções da Apple — contorna a pessoa. Não há Gatekeeper nem XProtect que impeça um utilizador de colar voluntariamente um comando e escrever a sua própria palavra-passe. Vale ainda notar que os ficheiros maliciosos estão alojados em sites WordPress legítimos comprometidos, com boa reputação, o que os torna ainda mais difíceis de detetar — um lembrete, para quem gere sites, da importância de manter o WordPress e os seus plugins atualizados.

Como se proteger

A recomendação central da Group-IB é simples e vale a pena decorá-la: nenhum site legítimo alguma vez lhe pedirá para colar um comando no Terminal. A Cloudflare, a Google e os restantes serviços fazem as suas verificações inteiramente dentro do navegador. Qualquer página que o instrua a abrir o Terminal, por mais profissional que pareça, está a tentar comprometer o seu sistema.

  • Nunca cole no Terminal comandos que não compreende, sobretudo se a instrução vem de um site.
  • Se o Mac começar subitamente a encerrar todas as aplicações e a mostrar um pedido de palavra-passe que não iniciou, não escreva a palavra-passe. Force o encerramento mantendo premido o botão de alimentação e arranque em Modo de Segurança (mantendo a tecla Shift durante o arranque) para investigar.
  • Se suspeita que executou este malware, parta do princípio de que todas as palavras-passe, cookies e chaves de carteiras guardadas estão comprometidas: revogue as sessões ativas dos navegadores e altere as palavras-passe a partir de outro dispositivo.
  • Verifique a pasta ~/Library/LaunchAgents/ à procura de ficheiros plist desconhecidos (como com.authirity.plist ou com.chromer.plist) e a pasta oculta ~/.cacheb/ — a sua presença confirma o comprometimento.
  • Nas organizações, restrinja o acesso ao Terminal a quem dele não precisa e aposte em formação sobre ataques de “copiar e colar”, um vetor que a formação tradicional de phishing costuma ignorar.

Perguntas frequentes

O que é o ClickLock?

É um malware para macOS do tipo infostealer (ladrão de informação), analisado pela empresa de cibersegurança Group-IB. Rouba palavras-passe, dados de gestores de palavras-passe, carteiras de criptomoedas e credenciais de navegadores, e instala uma backdoor para acesso remoto. O nome resulta da combinação da técnica de entrada (ClickFix) com o comportamento de bloqueio do sistema (locker).

Como é que um Mac fica infetado com o ClickLock?

Através da técnica ClickFix: uma página fraudulenta convence o utilizador a colar um comando na aplicação Terminal, muitas vezes sob o pretexto de uma verificação de segurança. Não há exploração de vulnerabilidades — o ataque depende inteiramente de enganar a pessoa para que execute o comando.

Os Macs não eram imunes a vírus?

Não. Embora o macOS tenha proteções robustas, o ClickLock ignora-as por completo porque não ataca o sistema — engana o utilizador. Nenhuma proteção técnica impede alguém de colar voluntariamente um comando e escrever a própria palavra-passe.

O que fazer se o Mac bloquear a pedir a palavra-passe?

Não escreva a palavra-passe. Force o encerramento do Mac mantendo premido o botão de alimentação e arranque em Modo de Segurança (mantendo a tecla Shift durante o arranque). Depois, revogue as sessões dos navegadores e altere as palavras-passe importantes a partir de outro dispositivo.

Esta informação tem caráter noticioso e baseia-se na análise técnica publicada pela Group-IB a 16 de julho de 2026.