- Entrou em um site recomendado durante uma conversa com o Gemini
- Ao clicar em “não sou um robô”, um comando malicioso era copiado previamente para a área de transferência e, em seguida, aparecia a instrução para abrir o terminal, colar o conteúdo e pressionar Enter para verificar que era humano.
- Ao executar, baixava e rodava um script adicional no formato
curl | bash - Era registrado em
LaunchAgentsno Mac, continuando a rodar mesmo após reinicialização/login - Baixava e executava AppleScript de um servidor remoto, além de tentar coletar informações e elevar privilégios
Neste caso:
- Como a senha de administrador não foi informada, a elevação de privilégios falhou
- Mesmo assim, pode ter havido algum acesso/coleta de informações dentro do escopo de permissões do usuário
Resposta:
- Cortar imediatamente a conexão de rede
- Remover o
plistmalicioso em~/Library/LaunchAgents - Encerrar os processos em execução
- Sair de todas as sessões do navegador e entrar novamente (invalidar cookies)
- Trocar as chaves SSH
Lição:
- Se uma página da web exigir a execução de comandos locais sob o pretexto de “verificação/autenticação”, é preciso desconfiar
- Também é preciso desconfiar de sites recomendados por IA
- Principalmente se induzir você a abrir Terminal/janela Executar/PowerShell e colar algo, quase sempre é esse padrão
- Desconfiar de pedidos de senha de administrador é o hábito mais importante e a última linha de defesa
Para análise detalhada, comandos reais e processo de resposta, consulte o texto original
Ainda não há comentários.