CEVIU Logo
Voltar

Campanha Phexia visa macOS: Novo ataque de quatro estágios com roubo de credenciais

Aprofundamento CEVIU

Aprofundamento

A campanha Phexia não é uma novidade isolada, é a evolução mais recente de um padrão operacional consolidado pelo APT28 no macOS, grupo ativo desde 2004 e ligado à GRU russa. Desde o Komplex em 2016 até o XAgentOSX em 2017, o grupo já havia demonstrado capacidade nativa de ataque ao sistema da Apple; agora, com Phexia, ele integra técnicas criminosas mainstream, como ClickFix, ofuscação base64 + osascript e C2 via Telegram, a um modus operandi de espionagem estatal. O que diferencia essa campanha é a combinação letal: um implante que reseta TCC para forçar novas caixas de permissão (não apenas rouba credenciais, mas as induz), executa loops de captura em tempo real e orquestra atualizações de domínios C2 por bot do Telegram, recurso típico de info-stealers comerciais como PXA Stealer, mas agora sob comando de um APT.

O uso de tccutil reset All não é só uma técnica de evasão: é um sinal claro de que o atacante prioriza acesso persistente a Keychain, micrófono, câmera e localização, dados críticos para espionagem contínua. E o fato de o payload ser colado manualmente no Terminal mostra que a defesa não pode depender apenas de EDR ou sandbox: o elo fraco continua sendo o usuário enganado por mensagens falsas de Cloudflare, atualizações de IA ou erros de 'verificação de segurança', táticas que se proliferaram desde o final de 2023 e hoje são padrão em mais de sete stealers ativos para macOS.

Por que isso importa

Empresas com equipes de TI, desenvolvimento e design usando Macs estão expostas a um risco sistêmico: o Phexia não exige vulnerabilidades zero-day, nem explorações remotas. Basta um clique, um copiar e colar no Terminal, e o malware já está na LaunchAgents, limpando permissões TCC e aguardando a próxima senha digitada. Isso torna ineficaz qualquer política de 'não executar código desconhecido' se não for acompanhada de treinamento técnico específico sobre ClickFix, detecção de prompts suspeitos e bloqueio proativo de infraestrutura como vdsina[.]com. Além disso, o uso de Telegram como canal C2 significa que o tráfego malicioso pode passar despercebido em redes que não inspecionam APIs externas, e o fato de o Phexia Stealer oferecer reverse shell e botnet indica que o objetivo vai além de roubo: é preparação para movimentação lateral e comprometimento contínuo.

Perguntas frequentes

O que é ClickFix e por que ele é tão eficaz contra usuários de macOS?

ClickFix é uma técnica de engenharia social que exibe um prompt falso (como erro de 'verificação de segurança' ou 'atualização necessária') e orienta o usuário a colar um comando no Terminal. Como o comando é executado com privilégios do usuário, e não requer senha, ele contorna proteções como Gatekeeper e notificações de segurança. É eficaz porque explora a confiança em mensagens que imitam serviços reais (Cloudflare, atualizações de navegador, ferramentas de IA) e porque muitos profissionais de TI e criativos no macOS usam o Terminal diariamente.

Por que o comando 'tccutil reset All' é um indicador crítico de comprometimento?

Esse comando limpa todas as permissões do sistema TCC (Transparency, Consent and Control), fazendo com que caixas de diálogo de acesso a microfone, câmera, localização, Keychain e pastas reapareçam. Em ataques como o Phexia, isso serve para forçar o usuário a conceder permissões novamente, e, ao fazer isso, inserir sua senha no diálogo disfarçado de 'Preferências do Sistema'. Qualquer execução desse comando fora de contexto administrativo deve disparar alerta imediato.

Como diferenciar o Phexia Stealer de outros info-stealers comerciais para macOS?

Embora compartilhe táticas com stealers como AMOS ou Odyssey (uso de ClickFix, Telegram C2, ofuscação base64), o Phexia tem assinatura de APT: persistência via LaunchAgent personalizado, atualizações dinâmicas de domínios C2 por bot Telegram, e foco estratégico em dados de espionagem (Keychain, Telegram, carteiras de cripto). Além disso, opera como MaaS desde abril de 2024, mas com versões adaptadas para campanhas direcionadas, diferente de stealers voltados apenas para roubo financeiro em escala.

Quais são os IOC mais confiáveis para detectar Phexia em ambientes corporativos?

Três indicadores têm alta fidelidade: 1) Execução de 'launchctl load' apontando para arquivos em ~/Library/LaunchAgents com nome suspeito (ex: com.components.campaign-id.plist); 2) Chamadas a 'tccutil reset All' sem contexto de suporte ou manutenção; 3) Tentativas de conexão DNS ou HTTP para domínios hospedados em vdsina[.]com. Também vale monitorar processos filhos de Terminal executando 'osascript -e' com payloads longos e ofuscados em base64.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser