Domingo, 11 de janeiro de 2026 – 13h51 WIB
Jacarta , Campanha Isso é muito confuso, não se envolva. Isso foi explicado pela Kaspersky Threat Research.
Eles identificaram uma nova campanha de malware que usa anúncios da Rede de Pesquisa Google Pagamento e compartilhamento de conversas no site oficial chatgpt para enganar os usuários Mac Maçã.
O objetivo é executar um comando que instale o AMOS InfoStealer (Atomic macOS Stealer) e um backdoor permanente em seu dispositivo.
Leia também:
Groke limita recursos de IA a pagamentos após controvérsia sobre ‘despir digital’, Elon Musk enfrenta críticas globais
Nesta campanha, o invasor comprou anúncios de pesquisa patrocinados para consultas como “ChatGPT Atlas” e direcionou os usuários a uma página semelhante ao guia de instalação do “ChatGPT Atlas para macOS” hospedado em ChatGPT.com.
Na realidade, a página é uma conversa ChatGPT compartilhada gerada por meio de engenharia acelerada e depois limpa para que permaneçam apenas instruções passo a passo de “instalação”.
Leia também:
Os impactos da IA estão a tornar-se cada vez mais graves e prevê-se que a onda de despedimentos continue até 2030
O guia instrui os usuários a copiar uma linha de código, abrir o Terminal no macOS, colar o comando e conceder todas as permissões solicitadas.
A análise dos pesquisadores da Kaspersky mostra que o comando baixa e executa scripts do domínio externo atlas-extension (.) com.
O script solicita repetidamente que o usuário insira a senha do sistema e valida a senha tentando executar comandos do sistema.
Assim que a senha correta for fornecida, o script baixa o AMOS InfoStealer, usa as credenciais roubadas para instalá-lo e inicia o malware.
Esse fluxo de infecção é uma forma de técnica chamada ClickFix, na qual os usuários são persuadidos a executar manualmente comandos shell que buscam e executam código de um servidor remoto.
Após a instalação, o AMOS coleta dados que podem ser monetizados ou reutilizados em invasões subsequentes.
O malware tem como alvo senhas, cookies e outras informações de navegadores populares, dados de carteiras de ativos criptográficos como Electrum, Coinomi e Exodus, bem como aplicativos como Telegram Desktop e OpenVPN Connect.
Ele também procura arquivos com extensões TXT, PDF e DOCX nas pastas “Desktop”, “Documentos” e “Downloads”, bem como arquivos salvos pelo aplicativo “Notas”, e depois envia esses dados para uma infraestrutura controlada pelo invasor.
Paralelamente, o ataque instalou um backdoor configurado para ser executado automaticamente na reinicialização, fornecendo acesso remoto ao sistema comprometido e duplicando grande parte da lógica de coleta de dados do AMOS.
próxima página
A campanha reflete uma tendência mais ampla em que os infostealers se tornaram uma das ameaças de crescimento mais rápido no último ano, com os atacantes a experimentar ativamente tópicos relacionados com IA, ferramentas falsas de IA e conteúdo gerado por IA para aumentar a credibilidade dos seus feeds.
