Campanha Phexia visa macOS: Novo ataque de quatro estágios com roubo de credenciais

A Campanha Phexia, provavelmente ligada ao APT28, emprega uma cadeia de ataque de quatro estágios no macOS. O processo inicia-se com um prompt ClickFix que engana usuários para colar um payload osascript ofuscado em base64 no Terminal. Isso estabelece persistência via LaunchAgent em ~/Library/LaunchAgents/com.components.campaign-id.plist e consulta um bot do Telegram para atualizações de domínios C2 em tempo real.

O implante usa tccutil reset All para limpar as permissões TCC e fazer reaparecer as caixas de diálogo de permissão. Ele disfarça um diálogo de coleta de credenciais como Preferências do Sistema, utilizando 150 loops de repetição para capturar a senha do usuário macOS. A cada 60 segundos, ele puxa e executa um payload osascript do Phexia Stealer, que visa todas as carteiras de criptomoedas, navegadores, Keychain e dados de autenticação do Telegram. Defensores devem monitorar a atividade de launchctl load que escreve em ~/Library/LaunchAgents, executar alertas para tccutil reset All, bloquear domínios hospedados em vdsina[.]com na camada DNS e tratar qualquer prompt de Terminal para colar código de um site como um IOC imediato.