No mês passado de setembro, a Mosyle, que compartilhou detalhes exclusivos sobre o ModStealer com 9to5Mac, voltou como um líder em gerenciamento e segurança de dispositivos Apple, trazendo à tona duas novas ameaças macOS que operam completamente abaixo do radar.

De acordo com novos detalhes compartilhados novamente com 9to5Mac, a Equipe de Pesquisa de Segurança da Mosyle identificou dois exemplos não detectados anteriormente: Phoenix Worm, um stager multiplataforma, e ShadeStager, um implante modular projetado para roubo de credenciais. Embora esses dois não estejam diretamente relacionados em termos de funcionamento, eles demonstram o quão sofisticados os malwares para Mac se tornaram.

Aqui, o tempo coincide com o que o restante da indústria tem observado. Como já relatei anteriormente, infostealers e cavalos de Tróia como o Atomic Stealer se tornaram a história predominante de malware para Mac no último ano; os atacantes estão se afastando de ataques barulhentos e se movendo em direção à persistência. Phoenix Worm e ShadeStager fazem exatamente isso.

Phoenix Worm, um stager oculto

Contrariando seu nome, o Phoenix Worm é, na verdade, um stager. Este software, um malware multiplataforma baseado em Golang, foi construído para funcionar como um stager. Stagers podem ser definidos basicamente como cargas leves projetadas para garantir persistência e preparar o terreno para uma segunda onda de ataque. Em vez de deixar a carga completa desde o início, ele primeiro cria silenciosamente um ponto de apoio. Existem muitas vantagens em fazer isso.

De acordo com a Mosyle, as funcionalidades principais do Phoenix Worm incluem:

  • Comunicar-se com um servidor de comando e controle (C2) remoto
  • Criar identificadores únicos para sistemas infectados
  • Transmitir dados do sistema para os atacantes
  • Suportar atualizações remotas e execução de cargas úteis

Segundo a declaração da Mosyle para o 9to5Mac, o Phoenix Worm não parece ser uma ameaça independente. Seu design sugere fortemente que ele faz parte de um conjunto de ferramentas mais amplo, destinado a transferir cargas mais avançadas para uma cadeia de ataque mais profunda.

No momento da análise, foi relatado que nenhuma variante do macOS ou Linux foi detectada por qualquer motor antivírus, com detecções limitadas apenas no Windows.

ShadeStager, projetado para roubo de credenciais

ShadeStager é uma ferramenta de pós-exploração projetada para extrair dados valiosos de sistemas já comprometidos. Embora isso possa parecer uma combinação perfeita com o Phoenix Worm, a Mosyle afirma que os dois não estão conectados.

Na verdade, o ShadeStager parece estar focado em ambientes de desenvolvimento e infraestrutura em nuvem. Especificamente, ele visa:

  • Chaves SSH e hosts conhecidos
  • Credenciais de nuvem da AWS, Azure e GCP
  • Arquivos de configuração do Kubernetes
  • Dados de autenticação do Git e Docker
  • Perfis completos de navegador em grandes navegadores

Além disso, segundo a Mosyle, o ShadeStager realiza uma exploração abrangente sobre informações de usuário e privilégios no host, detalhes do sistema operacional e hardware, configuração de rede e variáveis de ambiente relacionadas a sessões em nuvem e SSH. Tudo é configurado e exportado via HTTPS; ele vem com suporte para execução de comandos, exportação de dados e download de arquivos.

Curiosamente, o ShadeStager não contém um endereço C2 hardcoded, e algumas partes do código do malware podiam ser vistas pelos pesquisadores da Mosyle sem qualquer trabalho adicional de engenharia reversa. Isso sugere fortemente que o exemplo do malware ainda estava em desenvolvimento no momento da descoberta.

Resumo

Phoenix Worm e ShadeStager não estão conectados entre si, mas ambos se baseiam no mesmo modelo de ataque. Enquanto um fornece acesso, o outro extrai credenciais e tokens de nuvem, e nenhum deles foi detectado por qualquer motor antivírus no momento da descoberta.

O malware para Mac está avançando nessa direção em 2026. Os atacantes estão escrevendo em Go e Rust para compatibilidade multiplataforma, enviando cargas modulares que separam o acesso inicial da pós-exploração e configurando dinamicamente a infraestrutura C2, de modo que nada estático corresponda a uma assinatura. O exemplo mais fácil de ser mencionado é, sem dúvida, o Atomic Stealer, que se tornou a família de malware mais popular e preocupante. Este e suas variantes têm funcionado dessa maneira há algum tempo, e a abordagem parece ter surgido em exemplos irrelevantes também.

Antivírus baseados em assinatura já não são suficientes. A detecção comportamental e a visibilidade em tempo real devem ser um requisito básico para os administradores e equipes de segurança que defendem ambientes macOS hoje.

Sinais de Ameaça

Quando os administradores de Mac desejam adicionar essas ameaças às ferramentas de segurança, a Mosyle compartilhou os seguintes hashes SHA256:

  • ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
  • Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2

Siga Arin Waichulis: LinkedIn, Threads, X

Inscreva-se no podcast 9to5Mac Security Bite para análises e entrevistas aprofundadas com pesquisadores e especialistas em segurança da Apple:

  • Apple Podcasts
  • Spotify
  • Pocket Casts
  • RSS Feed