ClickLock Stealer contorna segurança do macOS com engenharia social e encerramento de processos

Novo malware para macOS chamado ClickLock Stealer usa engenharia social e encerramento agressivo de processos para driblar as proteções do sistema e roubar senhas, carteiras de criptomoedas e dados do Keychain de pelo menos 100 vítimas em 33 países.


Eduard Kovacs Sexta - 17 de Julho de 2026 às 01:51
SecurityWeek

Um novo malware para macOS chamado ClickLock Stealer utiliza engenharia social e encerramento de processos para driblar as proteções do sistema operacional e obter informações valiosas das vítimas.

A empresa de cibersegurança Group-IB identificou o ClickLock Stealer no início de junho, e o malware parece estar em circulação desde pelo menos o final de maio. Pesquisadores afirmam que ele já mirou pelo menos 100 usuários em 33 países, mais da metade na Europa.

O stealer (programa voltado ao roubo de dados) foi projetado para coletar diversos tipos de informação dos sistemas comprometidos, incluindo navegadores, carteiras de criptomoedas e extensões de carteira, além de extensões de gerenciadores de senhas. Ele também consegue extrair endereços de blockchain (livro-razão digital distribuído) de seis redes e mirar o Keychain do macOS (sistema nativo de armazenamento de credenciais), credenciais de FTP (protocolo de transferência de arquivos) e o histórico do shell (interpretador de comandos). Os dados roubados são compactados em um arquivo e exfiltrados para um bot no Telegram.

Embora os pesquisadores da Group-IB não tenham conseguido determinar com certeza como o ClickLock Stealer é distribuído, eles acreditam que os agentes maliciosos podem ter usado envenenamento de SEO (técnica que manipula resultados de busca), publicações em redes sociais ou sites comprometidos para atrair as vítimas a uma página de ataque do tipo ClickFix disfarçada de verificação da Cloudflare.

Os usuários que acessam essa página recebem a instrução de copiar um comando em bash, colá-lo no Terminal do macOS e executá-lo. Ao rodar o comando, um script orquestrador é baixado e executado, que por sua vez baixa outros quatro scripts: um ladrão de credenciais, um ladrão de criptomoedas, um ladrão de dados do Keychain e um instalador de backdoor (acesso remoto oculto).

O backdoor permanece na máquina comprometida, mas os outros scripts são removidos após coletarem os dados visados e os enviarem de volta ao atacante.

O design e as proteções nativas do macOS dificultam a instalação de malware. No entanto, o ClickLock Stealer consegue agir principalmente por meio de engenharia social, já que o malware é baixado e executado diretamente pela vítima, com os próprios privilégios dela. Diferentemente de outros malwares, ele não depende de exploits (códigos que exploram falhas) nem de escalonamento de privilégios.

Para acessar os dados visados, o malware emprega loops agressivos de encerramento de processos. O componente orquestrador exibe uma caixa de diálogo falsa do macOS para capturar a senha do usuário, encerrando todos os processos visíveis para que apenas a janela de senha permaneça na tela até a vítima ceder.

"Um loop em segundo plano também começa a encerrar continuamente a Central de Notificações do macOS por cerca de 6 horas, suprimindo qualquer alerta do Gatekeeper (mecanismo de segurança do macOS) ou avisos de segurança que poderiam alertar a vítima", explicou a Group-IB em um post no blog descrevendo o ClickLock Stealer.

Outros componentes também encerram de forma agressiva os aplicativos que a vítima pode usar para analisar ou interromper o ataque. O componente ladrão de credenciais também exibe uma caixa de senha falsa do macOS e a mantém aberta em um loop prolongado enquanto outros aplicativos são finalizados, forçando a vítima a digitar a senha.

Quando o malware consulta o Keychain do macOS em busca da chave de criptografia do Chrome Safe Storage, que protege senhas e outros dados do navegador, o usuário é solicitado a autorizar a ação. Novamente, todos os processos são encerrados até que a vítima ceda e o acesso ao Keychain seja concedido.

malware macOS cibersegurança

FONTE

SecurityWeek