O **Script Editor**, um aplicativo confiável do macOS usado para escrever e executar scripts (principalmente AppleScript e JXA), está sendo abusado para entregar malware. Pesquisadores observaram uma nova técnica ClickFix que não exige que os usuários interajam manualmente com o Terminal, ao contrário de ataques anteriores. ### Ataque ClickFix Contorna Avisos do Terminal Embora a **Apple** tenha adicionado proteções contra ataques ClickFix no macOS Tahoe 26.4, que exibe um aviso ao executar comandos no Terminal, este novo ataque baseado no Script Editor contorna essa medida de segurança. ### Sites Falsos com Tema da Apple Distribuem Malware Pesquisadores de segurança da **Jamf** observaram uma campanha onde atacantes estão usando sites falsos com tema da Apple que se passam por guias para ajudar os usuários a recuperar espaço em disco em seus computadores Mac. Esses sites contêm instruções de limpeza de sistema aparentemente legítimas, mas usam o esquema de URL `applescript://` para iniciar o Script Editor com código executável pré-preenchido.  *Fonte: Jamf* ### Detalhes Técnicos do Ataque O código malicioso executa um comando `curl | zsh` ofuscado, que baixa e executa um script diretamente na memória do sistema. Este script decodifica um payload base64 + gzip, baixa um binário (`/tmp/helper`), remove atributos de segurança usando `xattr -c`, o torna executável e, em seguida, o executa. ### Payload do Atomic Stealer (AMOS) O payload final é um binário Mach-O identificado como **Atomic Stealer** (AMOS), um malware-as-a-service comercial. Este malware tem sido amplamente implantado em campanhas ClickFix usando vários iscas ao longo do último ano. O AMOS visa um amplo espectro de dados sensíveis, incluindo: * Informações do Keychain * Arquivos da área de trabalho * Extensões de carteira de criptomoedas * Dados de preenchimento automático de navegador * Senhas * Cookies * Cartões de crédito armazenados * Informações do sistema No ano passado, o AMOS também adicionou um componente de backdoor para fornecer aos operadores acesso persistente a sistemas comprometidos. ### Mitigação e Prevenção Usuários de Mac devem tratar os prompts do Script Editor com extrema cautela e evitar executá-los, a menos que entendam completamente o código e confiem na fonte. Confie na documentação oficial da Apple para guias de solução de problemas do macOS. Embora as **Comunidades de Suporte da Apple** possam ser úteis, exerça cautela, pois os conselhos podem não ser isentos de riscos.