A velha ideia de que “Mac não pega vírus” virou um negócio lucrativo para cibercriminosos. Pesquisadores do Microsoft Defender identificaram três campanhas em larga escala de malware criadas especificamente para macOS, sinalizando uma mudança clara — e preocupante — no cenário de ameaças digitais.
Desde o fim de 2025, ataques do tipo infostealer cresceram de forma acelerada, explorando justamente a confiança excessiva de usuários que nunca consideraram o Mac um alvo real. O resultado é um ecossistema cada vez mais visado, com campanhas bem planejadas e difíceis de detectar.
A armadilha começa com um clique
O ponto de entrada mais comum são anúncios falsos no Google. Ao buscar ferramentas legítimas, como softwares populares ou aplicativos ligados a inteligência artificial, o usuário se depara com links patrocinados visualmente idênticos aos oficiais.
Esses anúncios levam a sites fraudulentos que usam a técnica conhecida como ClickFix. A página simula erros do sistema ou alertas críticos e convence a vítima a baixar arquivos maliciosos disfarçados de correções urgentes. O golpe funciona porque explora pressa, curiosidade e confiança.
Três malwares diferentes, o mesmo objetivo
As campanhas identificadas envolvem três famílias principais de malware, cada uma com uma abordagem distinta:
O DigitStealer se esconde em versões falsas de softwares populares, explorando downloads aparentemente legítimos.
O MacSync vai além e induz a própria vítima a copiar e colar comandos no Terminal, contornando proteções do sistema porque a execução parte do usuário.
Já o Atomic Stealer aproveita o hype em torno da IA, se passando por instaladores de ferramentas “inteligentes”.
Apesar das diferenças, o objetivo é o mesmo: roubo sistemático de informações sensíveis.
Roubo silencioso e sem volta
Depois de instalados, os malwares seguem um padrão bem definido. Primeiro, procuram carteiras de criptomoedas. Com acesso às chaves privadas, os atacantes conseguem transferir ativos como Bitcoin e Ethereum de forma irreversível.
Em seguida, extraem todas as senhas salvas nos navegadores, abrindo caminho para acesso a contas bancárias, emails e redes sociais. O impacto se amplia ainda mais quando entram em cena credenciais de desenvolvedor, como chaves SSH e acessos à AWS, que podem comprometer infraestruturas corporativas inteiras.
O detalhe mais inquietante é a autodestruição. Após enviar os dados roubados para servidores dos criminosos, o malware apaga seus próprios rastros. O usuário continua usando o Mac normalmente, sem perceber que já foi comprometido. Quando os primeiros sinais aparecem — contas esvaziadas ou acessos indevidos — as evidências forenses já não existem mais.
Senhas, mensagens e atividades monitoradas
A investigação da Microsoft também revelou campanhas paralelas. No fim de 2025, surgiu o PXA Stealer, associado a grupos criminosos de língua vietnamita, com foco em instituições governamentais e educacionais via phishing.
Em outro caso, atacantes sequestraram contas legítimas do WhatsApp e passaram a enviar anexos maliciosos para todos os contatos da vítima. O malware distribuído dessa forma, conhecido como Eternidade Stealer, vai além do roubo de dados: ele monitora continuamente as janelas ativas no sistema e espera o momento exato em que o usuário acessa serviços de pagamento como Stripe, Binance ou MercadoPago.
Como se proteger desses ataques
A principal defesa não é um antivírus milagroso, mas uma mudança de postura. O macOS não é imune a ameaças, e ignorar isso só facilita o trabalho dos criminosos.
Nunca execute comandos no Terminal sem entender exatamente o que eles fazem.
Baixe aplicativos apenas da Mac App Store ou dos sites oficiais dos desenvolvedores, conferindo cuidadosamente a URL.
Mantenha o macOS sempre atualizado, com correções de segurança em dia.
Desenvolva uma desconfiança saudável diante de alertas urgentes, promessas fáceis ou downloads “salvadores”.
No fim das contas, ataques modernos não exploram falta de conhecimento técnico. Eles exploram emoções. Criam urgência, estimulam curiosidade e abusam da confiança. Entender isso é tão importante quanto qualquer atualização de sistema.
