--- title: "Cuidado, dev Mac! Anúncios falsos no Google estão te enganando para instalar malwares." author: "Ignácio Afonso" date: "2025-10-19 07:06:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/19/cuidado-dev-mac-anuncios-falsos-no-google-estao-te-enganando-para-instalar-malwares/md" --- ## A Armadilha Digital Montada no Google A estratégia dos atacantes é simples, mas eficaz. Eles compram espaço publicitário no Google para que suas páginas falsas apareçam no topo dos resultados de pesquisa para termos relacionados a essas ferramentas. De acordo com a Hunt.io, mais de 85 domínios maliciosos foram identificados nesta campanha, com nomes projetados para soar legítimos, como "homebrewclubs.org" e "tradingviewen.com". O portal BleepingComputer confirmou que o tráfego para vários desses sites era, de fato, impulsionado por Google Ads. Ao clicar no anúncio, o desenvolvedor é levado a um site que é uma cópia quase perfeita do original. A página oferece um portal de download convincente e, aqui, a armadilha é acionada. O site instrui o usuário a copiar um comando e colá-lo em seu Terminal para instalar o software. É uma prática comum, especialmente para ferramentas de linha de comando, o que torna o golpe ainda mais traiçoeiro. ## O Golpe do 'Copia e Cola': Engenharia Social no Terminal A técnica empregada, apelidada de “ClickFix”, abusa da confiança e do hábito. No caso dos sites que se passam pelo TradingView, por exemplo, o golpe é ainda mais elaborado. A página exibe um suposto "passo de confirmação de segurança da conexão", mostrando um ID de verificação do Cloudflare e um botão de "copiar". No entanto, o que é copiado para a área de transferência do usuário não é o ID visível. Em vez disso, o botão injeta um comando codificado em base64, completamente diferente do que é exibido. Quando o desenvolvedor desavisado cola isso no Terminal e aperta Enter, ele está, na prática, executando um script de instalação malicioso. É o equivalente digital de um truque de mágica, onde o que você vê não é o que você leva. Esse comando, uma vez executado, busca e decodifica um arquivo chamado ‘install.sh’. Este script é o verdadeiro cavalo de Troia. Segundo a análise, ele primeiro remove as flags de quarentena do arquivo baixado, uma manobra para contornar o Gatekeeper, o sistema de segurança do macOS. Em seguida, ele verifica se está sendo executado em uma máquina virtual ou em um ambiente de análise para evitar detecção. Se o caminho estiver livre, o payload final é executado. ## Os Vilões da Vez: AMOS e Odyssey Os payloads entregues são duas famílias de malware "infostealer" (ladrão de informações) conhecidas por sua eficiência. O primeiro é o **AMOS (Atomic macOS Stealer)**. Documentado pela primeira vez em abril de 2023, o AMOS opera como um Malware-as-a-Service (MaaS), disponível para criminosos por uma assinatura de cerca de mil dólares por mês. Ele é capaz de roubar uma vasta gama de dados do sistema infectado e, recentemente, seus criadores adicionaram um componente de backdoor, dando aos operadores acesso remoto persistente à máquina da vítima. O segundo é o **Odyssey Stealer**. Conforme documentado pelos pesquisadores da CYFIRMA neste verão, o Odyssey é uma família mais nova, derivada do Poseidon Stealer, que por sua vez é um "fork" (uma derivação de código) do próprio AMOS. Seu foco é a rapina digital de alta precisão. Ele mira em:Credenciais e cookies armazenados nos navegadores Chrome, Firefox e Safari.Dados de mais de uma centena de extensões de carteiras de criptomoedas.Informações sensíveis do Keychain (o "cofre" de senhas do macOS).Arquivos pessoais do usuário.Toda essa montanha de dados roubados é então compactada em um arquivo ZIP e enviada para o servidor de comando e controle (C2) dos atacantes. ## Homebrew: Quando o Hábito se Torna o Ponto Fraco A escolha do Homebrew como um dos principais disfarces não é coincidência. Ele é, talvez, o gerenciador de pacotes mais amado pela comunidade de desenvolvimento em macOS. E aqui reside uma ironia amarga, digna de um arqueólogo digital como eu: o método de instalação oficial do Homebrew ensina os usuários a fazer exatamente o que os criminosos estão explorando. O comando oficial, encontrado em seu site brew.sh, é: /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" Essa "magia arcana", como alguns a chamam, instrui o sistema a baixar um script da internet e executá-lo diretamente, sem inspeção prévia. É um testamento da confiança que a comunidade deposita no projeto. Contudo, isso também cria um comportamento condicionado. Os desenvolvedores se acostumam a colar comandos de `curl` no Terminal. Parece que a única coisa que esses sites falsos de Homebrew estão "fermentando" é um belo problema. A diferença entre o comando legítimo e o malicioso pode ser apenas um domínio sutilmente alterado, quase imperceptível para um olhar apressado. A lição aqui é antiga, mas sempre atual. A confiança cega, mesmo em ferramentas que amamos, pode ser perigosa. O Terminal continua sendo um lugar de poder, mas o caminho até ele está, agora, minado por anúncios enganosos. A recomendação, reforçada pelos especialistas, é clara: nunca cole comandos no Terminal que você não compreende totalmente. Verifique a URL de origem com o rigor de um historiador examinando um artefato. No caso do Homebrew, o único endereço canônico é **https://brew.sh**. Qualquer outra variação é, muito provavelmente, uma fraude. A segurança do seu ecossistema digital, afinal, depende da sua vigilância constante.