Security researchers at Malwarebytes han identificado una campaña de malware dirigida a usuarios de macOS a través de una página web fraudulenta que se hace pasar por la popular utilidad del sistema CleanMyMac. La operación distribuye un malware que roba información diseñado para recopilar contraseñas, datos de monederos de criptomonedas y otra información sensible de dispositivos infectados.
La campaña maliciosa se basa en una web falsa que imita de cerca la página legítima del producto CleanMyMac. CleanMyMac es una herramienta de mantenimiento y optimización para macOS desarrollada por MacPaw y utilizada por millones de usuarios de Mac para gestionar el almacenamiento y el rendimiento del sistema. El sitio de los atacantes se presenta como un portal de descarga del software, pero no está conectado a MacPaw ni a la aplicación oficial CleanMyMac.
Según investigadores de seguridad, la página falsa dirige a los visitantes a un dominio diseñado para parecerse al sitio legítimo. Se indica a las víctimas que abran la aplicación Terminal en su Mac y peguen un comando proporcionado en la página. Ejecutar el comando descarga e instala malware directamente desde un servidor controlado por el atacante.
La técnica utilizada en el ataque se conoce como “ClickFix”, un método de ingeniería social que persuade a los usuarios para que ejecuten comandos maliciosos por sí mismos. Como el comando se ejecuta voluntariamente por el usuario, muchas de las protecciones integradas en macOS, como Gatekeeper, comprobaciones de notarización y XProtect, no bloquean la instalación.
Una vez ejecutado, el comando instala SHub Stealer, un malware que roba información en macOS. El malware está diseñado para recopilar datos sensibles del sistema comprometido, incluyendo datos del navegador, contraseñas guardadas, información del Llavero de Apple, archivos de monederos de criptomonedas y sesiones de plataformas de mensajería como Telegram.
Los investigadores también observaron que el malware intenta modificar ciertas aplicaciones de monederos de criptomonedas para que los atacantes puedan acceder posteriormente a frases de recuperación u otra información de autenticación. Las aplicaciones de cartera potencialmente objetivo incluyen Exodus, Atomic Wallet y software relacionado con Ledger.
La secuencia de ataque comienza con un pequeño script de cargador que prepara el sistema antes de entregar la carga completa de la carga. En algunos casos, el script comprueba la configuración del sistema para determinar la ubicación del dispositivo o la configuración del idioma antes de continuar con el proceso de infección.
Tras la instalación, el malware puede permanecer en el sistema y continuar comunicándose con la infraestructura controlada por el atacante. Además de robar datos, los investigadores afirman que el malware puede dejar una puerta trasera persistente que permite a los atacantes mantener el acceso incluso después de que se haya realizado la recogida inicial de datos.
La campaña pone de manifiesto cómo los atacantes dependen cada vez más de la ingeniería social en lugar de explotar vulnerabilidades técnicas. Al convencer a las víctimas para que ejecuten comandos manualmente, el malware evita muchas de las defensas automáticas diseñadas para proteger los sistemas macOS.
Los investigadores de seguridad recomiendan descargar software solo desde páginas web oficiales de desarrolladores o tiendas de aplicaciones de confianza. También aconsejan a los usuarios que traten cualquier sitio web que les indique pegar comandos en el Terminal como sospechoso, ya que las aplicaciones legítimas rara vez requieren este método de instalación.