Uma sofisticada campanha de phishing, tem como novo alvo os usuários de Mac, após uma queda significativa na eficácia das tentativas anteriores que focavam usuários de Windows. A operação, em andamento há meses, inicialmente enganava vítimas ao exibir falsos alertas de segurança da Microsoft, levando ao roubo de credenciais e criando a ilusão de que os dispositivos estavam bloqueados. Esses ataques utilizavam domínios hospedados em plataformas confiáveis como o windows[.]net da Microsoft, burlando filtros tradicionais de segurança baseados na reputação de domínios.

As páginas maliciosas empregavam subdomínios gerados aleatoriamente, atualizados com frequência para evitar detecção. Além disso, os sites apresentavam um design profissional, recursos anti-bot e CAPTCHA, dificultando a ação de ferramentas automatizadas de cibersegurança. Essa abordagem fez com que a campanha prosperasse por mais de um ano, até que, no início de 2025, novas proteções introduzidas nos navegadores Edge, Chrome e Firefox reduziram em 90% os ataques direcionados a Windows. Diante da queda de eficácia, os operadores da campanha adaptaram suas táticas e passaram a focar usuários de macOS e Safari, que não estavam protegidos pelas novas defesas.

Em apenas duas semanas após o lançamento das proteções da Microsoft, ataques direcionados a Macs começaram a ser observados pelos pesquisadores. As novas páginas de phishing mantinham o layout das versões anteriores, mas foram ajustadas para parecerem legítimas aos usuários Apple, explorando parâmetros de sistema operacional e agente de usuário via HTTP. Os ataques utilizam redirecionamentos a partir de páginas de “parking” de domínios comprometidos, ativados por erros de digitação em URLs legítimas. Mesmo com a presença de gateways de segurança web (SWG), esses ataques conseguiram contornar as defesas tradicionais.