Pesquisadores do Netskope Threat Labs identificaram uma nova variante mais sofisticada da campanha ClickFix direcionada a usuários do sistema macOS. A evolução técnica mostra que o objetivo da ameaça mudou do roubo de senhas para o controle de dispositivos, incorporando um trojan de acesso remoto para manter acesso persistente e executar comandos de forma remota nos computadores comprometidos.
Cadeia de infecção e roubo de dados
A campanha utiliza uma cadeia de infecção totalmente fileless que executa o malware diretamente na memória do sistema. A infecção começa quando a vítima é induzida, por meio de engenharia social, a executar um comando no terminal do macOS. A partir dessa ação, o sistema passa a coletar senhas, cookies de sessão, dados de navegadores e informações armazenadas no Keychain.
Os analistas detalharam que a nova variante estabelece mecanismos de comunicação contínua com servidores controlados por invasores. Além disso, foram identificadas funcionalidades voltadas ao comprometimento de aplicativos de carteiras de criptomoedas, incluindo a substituição de componentes legítimos por versões adulteradas. Conforme avaliou a equipe do laboratório, a descoberta evidencia que a campanha agora funciona como porta de entrada para comprometimentos mais amplos, mantendo o controle mesmo após a exfiltração inicial.
Recomendações de proteção e visibilidade
Para mitigar os riscos associados à ameaça, pesquisadores orientam as empresas a reforçar a proteção contra páginas falsas e a bloquear domínios maliciosos. De acordo com o relatório, é fundamental educar os usuários para que nunca executem comandos copiados de sites ou de supostos alertas de suporte técnico. As equipes de segurança também devem ampliar a visibilidade sobre a execução de scripts, coleta de credenciais ou comunicação recorrente com infraestruturas externas.
