Domingo, 11 de janeiro de 2026 – 13h51 WIB
Jacarta – Essa campanha é muito enganosa, não se envolva. Isso foi explicado pela Kaspersky Threat Research.
Leia também:
Indonésia bloqueia Grok por causa de pornografia deepfake
Eles identificaram uma nova campanha de malware que usa anúncios pagos de pesquisa do Google e conversas compartilhadas no site oficial do ChatGPT para enganar os usuários do Apple Mac.
O objetivo é executar um comando que instale o infostealer AMOS (Atomic macOS Stealer) e um backdoor permanente em seu dispositivo.
Leia também:
Grok limita recursos de IA a pagamentos após controvérsia sobre ‘despir-se digital’, Elon Musk colhe críticas globais
Nesta campanha, o invasor comprou anúncios de pesquisa patrocinados para consultas como “chatgpt atlas” e direcionou os usuários a uma página que parecia um guia de instalação do “ChatGPT Atlas para macOS” hospedado em chatgpt.com.
Na realidade, a página é uma conversa compartilhada do ChatGPT gerada por meio de engenharia imediata e depois higienizada para que permaneçam apenas instruções passo a passo de “instalação”.
Leia também:
Os efeitos da IA são cada vez mais aterrorizantes e prevê-se que a onda de demissões continue até 2030
O guia instrui os usuários a copiar uma linha de código, abrir o Terminal no macOS, colar o comando e conceder todas as permissões solicitadas.
A análise dos pesquisadores da Kaspersky mostra que o comando baixa e executa scripts do domínio externo atlas-extension(.)com.
O script solicita repetidamente que o usuário insira a senha do sistema e valida a senha tentando executar comandos do sistema.
Depois que a senha correta é fornecida, o script baixa o infostealer AMOS, usa as credenciais roubadas para instalá-lo e inicia o malware.
Esse fluxo de infecção é uma variação de uma técnica chamada ClickFix, na qual os usuários são persuadidos a executar manualmente comandos shell que buscam e executam código de um servidor remoto.
Após a instalação, o AMOS coleta dados que podem ser monetizados ou reutilizados em invasões subsequentes.
O malware tem como alvo senhas, cookies e outras informações de navegadores populares, dados de carteiras de ativos criptográficos como Electrum, Coinomi e Exodus, bem como informações de aplicativos como Telegram Desktop e OpenVPN Connect.
Ele também procura arquivos com extensões TXT, PDF e DOCX nas pastas “Desktop”, “Documentos” e “Downloads”, bem como arquivos salvos pelo aplicativo “Notas”, e então exfiltra esses dados em uma infraestrutura controlada pelo invasor.
Paralelamente, o ataque instalou um backdoor configurado para ser executado automaticamente na reinicialização, fornecendo acesso remoto ao sistema comprometido e duplicando grande parte da lógica de coleta de dados do AMOS.
Próxima página
A campanha reflete uma tendência mais ampla em que os infostealers se tornaram uma das ameaças de crescimento mais rápido no ano passado, com os atacantes a experimentar ativamente temas relacionados com IA, ferramentas falsas de IA e conteúdo gerado por IA para aumentar a credibilidade dos seus feeds.
