Investigadores da Palo Alto Networks Unit 42 identificaram uma nova campanha ClickFix dirigida a utilizadores de Mac que usa falsas verificações CAPTCHA para levar as vítimas a executar comandos maliciosos no Terminal do macOS, instalando silenciosamente o infostealer AMOS (Atomic macOS Stealer). A técnica, já conhecida no Windows, foi agora adaptada com uma variante particularmente furtiva que usa ficheiros de imagem de disco (DMG) para contornar as proteções do sistema.
Como funciona o ataque
A vítima acede a uma página web que imita uma verificação de segurança legítima — semelhante às verificações Cloudflare ou Google reCAPTCHA. Em vez de um desafio normal dentro do browser, a página pede ao utilizador que abra o Terminal do macOS e cole um comando para “provar que não é um robot”. Esse comando, aparentemente inofensivo, descarrega secretamente um ficheiro DMG de um servidor controlado pelos atacantes, monta-o usando a ferramenta nativa do macOS hdiutil sem o mostrar no Finder, e executa automaticamente o malware que contém.
O que o malware rouba
Uma vez instalado, o AMOS procura ativamente dados sensíveis em vários locais do sistema: passwords guardadas em browsers baseados em Chromium (Chrome, Edge, Brave, Opera, Arc) e Firefox, cookies, dados de cartões de pagamento, carteiras de criptomoedas (Exodus, Electrum, Atomic Wallet, entre outras), dados do Telegram Desktop e Discord, notas do Apple Notes, cookies do Safari e a base de dados Apple Keychain. Toda a informação recolhida é comprimida e enviada para servidores dos atacantes. O malware exibe ainda um falso pedido de autenticação do Sistema de Preferências para roubar a password do utilizador.
A regra de ouro
Nenhum serviço legítimo pede para abrir o Terminal e executar comandos como parte de uma verificação CAPTCHA. Se um website der essa instrução, feche imediatamente a página. A versão mais recente do macOS Tahoe (26.4) ou Sequoia inclui um mecanismo de alerta quando o utilizador tenta colar comandos potencialmente maliciosos no Terminal — atualizar o sistema operativo é uma proteção adicional relevante.
Porque é que isto importa
O ClickFix é uma técnica de engenharia social em expansão acelerada — segundo dados de 2025, a sua utilização cresceu mais de 500% num ano. A adaptação ao macOS desfaz o mito de que os computadores Apple são imunes a malware. A Malwarebytes identificou ainda que mais de 700 sites foram comprometidos para injetar estas falsas verificações CAPTCHA em páginas legítimas, o que significa que a ameaça pode surgir em contextos aparentemente seguros.
Esta informação tem carácter noticioso e baseia-se em investigação publicada pela Palo Alto Networks Unit 42, Bleeping Computer e Malwarebytes.