A Intego publicou em seu blog oficial como se dá o funcionamento da Matryoshka, uma evolução da técnica de engenharia social “ClickFix”, cuja principal característica é o uso de um fluxo de instalação falso para convencer vítimas a executar um comando malicioso no Terminal.
Direcionada a usuários do macOS, a armadilha da Matryoshka começa quando eles cometem um erro bastante comum ao navegar na internet: digitar uma URL incorretamente ao tentar acessar o site de um software legítimo — uma prática conhecida como typosquatting.
Posts relacionados
- Anúncios no Google imitavam páginas da Apple para comprometer Macs
- Possível primeiro malware com IA se passa pelo Grok para atacar Macs
- Malware usa app legítimo para infectar Macs remotamente
Devido a esse erro, os atacantes conseguem direcionar os usuários para uma página que apresenta uma mensagem de erro com instruções para copiar um comando de correção e colá-lo no Terminal do macOS — o que baixa um script shell com uma grande carga útil codificada.
O nome do malware (uma tradução para boneca-russa) se dá por múltiplas camadas de proteção que escondem a lógica interna do malware — como a execução do conteúdo do script diretamente na memória, evitando a detecção por apps scanners (que, no geral, focam no disco).
Além disso, o processo retorna rapidamente no Terminal (passando a rodar em segundo plano) e mensagens de erro são silenciadas para não levantar suspeitas. O malware ainda usa um cabeçalho personalizado para se comunicar com o servidor — o que o faz parecer inativo.
O que faz o malware?
Caso esses passos sejam bem-sucedidos, atacantes podem roubar ativos de carteiras de criptomoedas (inclusive substituindo apps legítimos por versões maliciosas), bem como credenciais de navegadores — que são compactadas e facilmente enviadas para seus servidores.
Quando o processo é finalizado, o arquivo temporário do malware é deletado do computador e uma mensagem de erro (“Your Mac does not support this application. Try reinstalling or downloading the version for your system.”) é exibida, para reduzir suspeitas e atrasar investigações.
A principal recomendação de segurança dada pela Intego é nunca colar comandos de sites desconhecidos no Terminal, uma vez que atualizações e correções de software legítimas (pelo menos as voltadas para os usuários comuns) não costumam exigir esse procedimento.