O grupo Sapphire Sleet, patrocinado pela Coreia do Norte, conduz uma campanha de ataques contra usuários de macOS desde março de 2026. Utilizando engenharia social com falsas atualizações do Zoom, os atacantes roubam carteiras de criptomoedas, chaves SSH e credenciais bypassando o sistema de segurança TCC da Apple sem explorar nenhuma vulnerabilidade de software.
Como o ataque foi descoberto
Pesquisadores da Microsoft, Palo Alto Unit 42 e Huntress identificaram uma campanha multiestágio conduzida pelo grupo Sapphire Sleet — também rastreado como BlueNoroff, APT38 e UNC1069 — que opera sob patrocínio do Estado norte-coreano. A operação, ativa desde pelo menos março de 2026, emprega engenharia social elaborada para enganar profissionais do setor financeiro e de criptomoedas que utilizam macOS. A análise detalhada da Microsoft revelou que os atacantes não exploram vulnerabilidades de software — eles manipulam o próprio usuário para executar código malicioso voluntariamente.
Engenharia social como vetor
O ponto de entrada é uma mensagem no LinkedIn, Telegram ou e-mail, em que o atacante se faz passar por recrutador, investidor ou parceiro de negócios. A vítima é convidada para uma reunião virtual e orientada a instalar uma falsa atualização do “Zoom SDK”. O arquivo entregue, Zoom SDK Update.scpt, é um AppleScript compilado que abre no Editor de Scripts do macOS. O código malicioso fica oculto sob milhares de linhas em branco, tornando-o praticamente invisível sem rolar toda a janela. A engenharia social permanece como uma das técnicas mais eficazes de invasão, e este caso reforça que nenhuma plataforma está imune.
Bypass do TCC do macOS
Uma vez executado, o script inicia uma cascata de comandos curl e osascript que baixam múltiplos componentes. O mais crítico é a manipulação do banco de dados TCC (Transparency, Consent and Control) do macOS. O malware abusa do acesso de Disco Completo do Finder para conceder permissões de automação ao osascript sem exibir qualquer alerta ao usuário. Isso permite que o código malicioso rode livremente dentro de processos legítimos do sistema, burlando as proteções nativas da Apple.
Componentes e dados roubados
A cadeia de infecção instala vários componentes com funções específicas:
| Componente | Função |
|---|---|
com.apple.cli |
Monitoramento de processos em tempo real e beacon C2 |
systemupdate.app |
Diálogo falso de senha que valida credencial local |
icloudz |
Backdoor com carregamento reflexivo em memória |
com.google.chromes.updaters |
Backdoor persistente com shell interativo via zsh |
Os dados visados incluem carteiras de criptomoedas (Exodus, Ledger Live), chaves SSH, arquivos de sessão do Telegram, dados de extensões de navegador, Apple Notes descriptografados e histórico de navegação. A credencial do usuário, validada via dscl -authonly, é exfiltrada pela API do Telegram Bot. A pesquisa da Unit 42 documentou que o grupo também usa o Koi Stealer em variante para macOS, capaz de copiar arquivos de Desktop e Documents e silenciar o volume do sistema para ocultar notificações de cópia.
Como se proteger
- Desconfie de solicitações de “atualização de software” vindas de contatos desconhecidos no LinkedIn ou Telegram — verifique sempre com a fonte oficial.
- Ative o FileVault e revise regularmente as permissões de TCC em Preferências do Sistema > Privacidade e Segurança.
- Utilize uma solução de EDR compatível com macOS que detecte anomalias em processos como
osascriptecurlencadeados. - Mantenha carteiras de criptomoedas em dispositivos dedicados (hardware wallets) nunca conectados ao macOS de uso diário.
- Verifique os IOCs publicados pela Microsoft e Huntress e busque os hashes e caminhos listados em seus endpoints.