Um novo infostealer para macOS chamado ClickLock transformou a persistência agressiva em arma de coerção: quando a vítima cancela o falso diálogo de sistema, dois LaunchAgents disparam um loop que mata Finder, Dock, Spotlight, Terminal, Activity Monitor e navegadores a cada 210 milissegundos por até 83 horas — deixando na tela apenas uma caixa de senha em um desktop morto. Group-IB rastreou pelo menos 100 vítimas em 33 países desde maio, mais da metade na Europa, com o orquestrador subindo ao VirusTotal em 9 de junho e zero detecções na data da análise.
Pesquisadores da Group-IB documentaram uma campanha ativa de um infostealer inédito para macOS que abandona o roteiro clássico dos stealers da família Atomic, Poseidon e Cthulhu. Em vez de tentar sequestrar a sessão com um único prompt e desistir se o usuário negar, o ClickLock desenha um cenário em que negar é pior do que ceder: o loop de coerção só para quando a senha do login é digitada.
A cadeia começa em uma página de lure ainda não identificada. A vítima é induzida a copiar e colar um comando no Terminal — o padrão ClickFix, já amplamente explorado por operadores de commodity malware em Windows e agora consolidado no ecossistema Apple. O script exibe um diálogo de sistema falsificado pedindo a senha. Se o usuário aceitar, o roubo é imediato. Se cancelar, o orquestrador instala silenciosamente dois arquivos plist em ~/Library/LaunchAgents/ e encerra a execução aparente.
No próximo login, o inferno começa. Os LaunchAgents com.authirity.plist e com.chromer.plist disparam laços paralelos que matam processos críticos do sistema em intervalos de 200 a 210 milissegundos. Um deles pode persistir por até 3.000.000 de segundos — cerca de 34,7 dias — enquanto um processo em segundo plano consulta o Keychain a cada meio segundo pela chave Safe Storage do Chrome, forçando o macOS a levantar prompts de autorização reais até que a vítima finalmente digite a senha.
O desenho técnico do ClickLock é chocantemente pragmático. O primeiro loop, ativado por com.authirity.plist, executa o ciclo de morte de processos em intervalos de 210 ms até que uma senha válida seja capturada. O segundo, disparado por com.chromer.plist, mantém intervalos de 0,2 segundo por até 34,7 dias. Terminal e Activity Monitor estão nas duas listas de kill, o que impede diagnóstico manual. Um terceiro loop mata o NotificationCenter por seis horas, cancelando qualquer alerta de Gatekeeper.
Se o Terminal não tem Full Disk Access — condição necessária para varrer diretórios sensíveis —, o orquestrador abre o painel exato de System Settings e guia a vítima pelo processo de concessão do privilégio. O malware não invade o sistema; ele obriga o usuário a abrir a porta em nome dele.
“O usuário que se recusa a colaborar não é um caso extremo. É exatamente o que o design contempla.”
Group-IB, análise técnica do ClickLock Stealer
Uma vez capturada a senha, o operador recebe o pacote completo: chave Safe Storage AES do Chrome (que decifra credenciais e cookies armazenados no disco, mesmo offline, na máquina do atacante), Keychain do usuário, cofres de gerenciadores de senha, extensões de carteiras cripto do navegador, arquivos de carteiras desktop, histórico de shell e credenciais salvas do FileZilla. A chave do Safe Storage é o ativo de maior valor — permite exfiltração persistente das credenciais mesmo depois que a vítima trocar a senha do sistema, se não revogar sessões ativas.
A telemetria do Group-IB aponta pelo menos 100 alvos confirmados em 33 países, com concentração na Europa (mais de 50%). O malware ainda estaria em desenvolvimento, segundo indícios no código, o que sugere que a campanha atual é apenas um piloto. Três hosts de payload comprometidos estão nos IOCs; nenhum domínio de lure foi identificado — o que significa que o vetor inicial (phishing, redes sociais, torrents ou anúncios pagos) continua ativo e não mapeado.
O ClickLock representa uma mudança de paradigma em stealers para macOS. Até o Atomic Stealer, o padrão era otimista: se o usuário nega, o operador perde a vítima. O ClickLock parte do pressuposto inverso — a maioria dos usuários que executa o comando inicial não vai reconhecer o segundo prompt como malicioso, e mesmo os que reconhecem cederão sob pressão. É um design de negação de serviço aplicado ao endpoint do próprio usuário, transformando a recusa em custo psicológico intolerável.
Vale comparar com o padrão Nightmare Eclipse observado no Windows, onde loops de UAC bypass usam a fadiga do usuário para arrancar consentimento. A técnica migrou. Em macOS, onde o modelo TCC de permissões depende quase exclusivamente do julgamento do dono da máquina, o vetor de coerção é potencialmente mais efetivo. O fato de o orquestrador ter subido ao VirusTotal sem detecção reforça a limitação estrutural: assinaturas estáticas não capturam intenção comportamental.
A ausência da página de lure é o dado mais preocupante. Sem entender o vetor de entrega, times de resposta ficam presos a caçar plists e processos de kill, mas não conseguem cortar o funil. Historicamente, ClickFix vem sendo entregue por meio de resultados patrocinados no Google, tutoriais falsos no YouTube e páginas de captcha falsas — todas replicáveis a baixo custo. Se o ClickLock está em desenvolvimento ativo, a próxima onda tende a incluir polimorfismo no orquestrador e evasão de Endpoint Security via injeção em processos assinados.
~/Library/LaunchAgents/ como sinal de alta prioridade; nomes suspeitos incluem com.authirity.plist e com.chromer.plistFonte: The Hacker News
Splunk e Zoom publicam correcoes criticas. Destaque: CVE-2026-53412 (CVSS 9.8) no Zoom Workplace para Windows…
Thalha Jubair (20) e Owen Flowers (18) receberam 5 anos e 6 meses cada pelo…
Microsoft lanca a Frontier Company: US$ 2,5 bi, 6.000 engenheiros e clientes como LSEG, Unilever…
Google DeepMind publica metodo para medir a saliencia de valores geoculturais em alinhamento - e…
Meta acelera Prometheus (1GW em 2026) e Hyperion (5GW na Louisiana, +US$ 50 bi). Zuckerberg…
Sysdig registra o JADEPUFFER: primeiro caso de ransomware totalmente conduzido por agente LLM, via CVE-2025-3248…