Microsoft alerta para infostealers em Python que miram macOS com anúncios e instaladores falsos

Tipo principal do conteúdo: Cibersegurança

Resumo jornalístico:

Pesquisadores da Microsoft alertam para a rápida expansão de ataques de infostealer, que agora visam ambientes Apple macOS utilizando linguagens multiplataforma, como Python, e abusando de plataformas confiáveis para distribuição em larga escala. Esses ataques, identificados desde o final de 2025, empregam campanhas de engenharia social, como o ClickFix, para disseminar instaladores DMG maliciosos que instalam famílias de malware como Atomic macOS Stealer (AMOS), MacSync e DigitStealer.

Os operadores dessas campanhas utilizam técnicas avançadas, incluindo execução sem arquivos, automação via AppleScript e uso de utilitários nativos do macOS, para furtar informações sensíveis. Entre os dados visados estão credenciais de navegadores, dados de sessão, segredos de desenvolvedores e informações armazenadas no iCloud Keychain. O vetor inicial frequentemente envolve anúncios maliciosos veiculados por plataformas como o Google Ads, que redirecionam usuários a sites falsos de ferramentas populares e soluções de inteligência artificial.

Além do macOS, ataques semelhantes têm sido observados em ambientes Windows, com o uso de stealers baseados em Python, como o PXA Stealer, que empregam e-mails de phishing para obter acesso inicial e persistência por meio de chaves de registro ou tarefas agendadas. A comunicação e exfiltração de dados são realizadas via aplicativos como Telegram. Também foram identificadas campanhas que utilizam aplicativos de mensagens, como WhatsApp, para propagar malware voltado ao roubo de informações financeiras e de criptomoedas.

A relevância técnica desses ataques reside na capacidade dos criminosos de adaptar rapidamente o código e atingir diferentes sistemas operacionais com baixo custo operacional. O uso de técnicas de malvertising, SEO poisoning e automação nativa amplia o alcance e a eficiência das campanhas, elevando o risco de comprometimento de dados corporativos e pessoais. O monitoramento de atividades suspeitas no Terminal, acesso ao iCloud Keychain e tráfego de rede para domínios desconhecidos são medidas recomendadas para mitigar esses riscos.