Falsos sites de ajuda do macOS espalham o ladrão de informações SHAMOS por meio de malvertising

Uma campanha sofisticada de malvertising entre junho e agosto de 2025 tentou enganar usuários de macOS redirecionando-os para sites falsos de suporte, onde eram instruídos a executar um comando malicioso de instalação em uma única linha. O objetivo era instalar o SHAMOS, uma variante do conhecido Atomic macOS Stealer (AMOS), desenvolvido pelo grupo de malware-as-a-service Cookie Spider.

A operação, detectada e bloqueada pela CrowdStrike em mais de 300 ambientes de clientes, aproveitava a técnica de “one-line installation commands” para contornar as verificações de segurança do Gatekeeper e instalar executáveis Mach-O diretamente nos dispositivos das vítimas. Esse método já havia sido utilizado em campanhas de malvertising no Homebrew entre 2024 e 2025.

As páginas falsas imitavam portais de ajuda do macOS e forneciam instruções enganosas para “resolver problemas”, quando na realidade induziam os usuários a colar e executar um comando que decodificava uma string Base64. Esse processo resultava no download de um script Bash capaz de roubar senhas e instalar o SHAMOS.

O impacto foi global, com alvos em países como Reino Unido, Japão, China, Colômbia, Canadá, México e Itália. Curiosamente, não houve vítimas na Rússia, já que fóruns de cibercrime locais proíbem ataques contra usuários russos. A CrowdStrike alerta que operadores de malware devem continuar explorando tanto malvertising quanto comandos simplificados de instalação para propagar infostealers em macOS.

Fonte: https://www.infosecurity-magazine.com/news/fake-macos-spread-infostealer/