PANews informou em 11 de maio que, de acordo com o Cryptopolitan, a equipe de pesquisa de segurança da Microsoft descobriu que invasores vêm publicando guias falsos de solução de problemas do macOS desde o final de 2025, enganando os usuários para executar comandos maliciosos no terminal, a fim de roubar carteiras criptografadas, dados do iCloud e senhas salvas no navegador. Esses guias falsos, publicados em plataformas como Medium, Craft e Squarespace, visam problemas comuns dos usuários, como liberar espaço em disco ou corrigir erros do sistema, induzindo os usuários a copiar e colar comandos maliciosos no terminal. Esses comandos baixam e executam automaticamente malwares.
Essa técnica de engenharia social, conhecida como ClickFix, contorna o mecanismo de segurança Gatekeeper do macOS porque a vítima executa ativamente os comandos. As famílias de malware envolvidas incluem AMOS, Macsync e SHub Stealer, que podem roubar chaves de carteiras criptografadas da Exodus, Ledger e Trezor, bem como nomes de usuário e senhas salvos no Chrome e Firefox. Em alguns casos, os invasores também excluem aplicativos de carteira legítimos e os substituem por versões com trojan. A Apple adicionou proteção contra colagem de comandos potencialmente maliciosos no macOS 26.4.
