1) O fato Pesquisadores da Group-IB descobriram um novo malware para macOS chamado ClickLock, que encerra todos os processos visíveis para forçar o usuário a inserir a senha de login do sistema. O malware rouba criptomoedas, credenciais, dados de gerenciadores de senhas e informações de navegação, além de instalar um backdoor persistente para acesso remoto contínuo aos sistemas infectados. O script malicioso infectou ao menos 100 sistemas em 33 países desde maio de 2026.
2) Contexto O ClickLock é um script shell analisado pelos pesquisadores após ser submetido ao VirusTotal em 9 de junho de 2026, onde permanecia indetectável por todos os fornecedores de segurança da plataforma. A infecção começa com um ClickFix — uma página falsa de verificação humana do Cloudflare com barra de progresso animada no Terminal. Durante o ataque, os interrupts de teclado são desabilitados, o cursor do terminal é ocultado e os módulos de roubo são baixados em segundo plano. O NotificationCenter do macOS também é suprimido por cerca de seis horas, desativando notificações que poderiam expor o ataque.
3) Análise O ClickLock representa uma evolução preocupante no malware para macOS por três razões fundamentais. Primeiro, não requer exploits ou privilégios elevados — opera exclusivamente por engenharia social e loops de interação forçada, o que significa que qualquer usuário pode ser infectado independentemente das configurações de segurança do sistema. Segundo, o mecanismo de coação é brutalmente eficaz: se o usuário cancela o diálogo de senha, o malware encerra processos-chave (Finder, Dock, Terminal, navegadores) a cada 210 milissegundos por até 83 horas, mostrando apenas a tela de senha até que a vítima obedeça. Terceiro, os módulos se autodeletam após execução, deixando apenas o backdoor GSocket como vestígio persistente. A supressão do NotificationCenter por seis horas impede que alertas de segurança alertem a vítima, e os payloads são hospedados em domínios legítimos comprometidos com reputação limpa.
4) O que observar • A indetectabilidade no VirusTotal destaca a necessidade de soluções de segurança específicas para macOS, tradicionalmente negligenciadas em comparação com Windows. • Usuários de criptomoedas são alvos primários — wallets como MetaMask, Phantom e Ledger estão na mira, além de senhas de gerenciadores como Chrome, Firefox e Bitwarden. • Empresas com funcionários em macOS devem educar equipes sobre não executar comandos no Terminal a partir de instruções de sites. • Se solicitado a inserir a senha de login quando o sistema parece não responder, a Group-IB recomenda forçar o desligamento segurando o botão de energia e inicializar no Modo de Segurança.
Fonte: BleepingComputer