Security researchers at Malwarebytes ont identifié une campagne de malware ciblant les utilisateurs de macOS via un site frauduleux qui usurpe l’identité du populaire utilitaire système CleanMyMac. L’opération distribue un malware de vol d’informations conçu pour collecter des mots de passe, des données de portefeuilles de cryptomonnaies et d’autres informations sensibles provenant d’appareils infectés.
Cette campagne malveillante s’appuie sur un faux site web qui imite de près la page produit légitime de CleanMyMac. CleanMyMac est un outil de maintenance et d’optimisation de macOS développé par MacPaw et utilisé par des millions d’utilisateurs Mac pour gérer le stockage et la performance du système. Le site des attaquants se présente comme un portail de téléchargement pour le logiciel, mais n’est pas lié à MacPaw ni à l’application officielle CleanMyMac.
Selon des chercheurs en sécurité, la fausse page dirige les visiteurs vers un domaine conçu pour ressembler au site légitime. Les victimes sont invitées à ouvrir l’application Terminal sur leur Mac et à coller une commande fournie sur la page. L’exécution de la commande télécharge et installe les malwares directement depuis un serveur contrôlé par l’attaquant.
La technique utilisée dans l’attaque est connue sous le nom de « ClickFix », une méthode d’ingénierie sociale qui persuade les utilisateurs d’exécuter eux-mêmes des commandes malveillantes. Parce que la commande est exécutée volontairement par l’utilisateur, de nombreuses protections intégrées à macOS, telles que Gatekeeper, les vérifications de notarisation et XProtect, ne bloquent pas l’installation.
Une fois exécutée, la commande installe SHub Stealer, un malware qui vole des informations sur macOS. Le malware est conçu pour collecter des données sensibles provenant du système compromis, y compris les données du navigateur, les mots de passe sauvegardés, les informations sur le porte-clés Apple, les fichiers de portefeuilles cryptomonnaies et les sessions de la plateforme de messagerie telles que Telegram.
Les chercheurs ont également observé que le malware tente de modifier certaines applications de portefeuilles de cryptomonnaies afin que les attaquants puissent ensuite accéder à des phrases de récupération ou à d’autres informations d’authentification. Les applications de portefeuille potentiellement ciblées incluent Exodus, Atomic Wallet et les logiciels liés à Ledger.
La séquence d’attaque commence par un petit script de chargeur qui prépare le système avant la livraison complète de la charge utile. Dans certains cas, le script vérifie les paramètres système pour déterminer la localisation ou la configuration linguistique de l’appareil avant de poursuivre le processus d’infection.
Après l’installation, le malware peut rester sur le système et continuer à communiquer avec l’infrastructure contrôlée par l’attaquant. En plus de voler des données, les chercheurs affirment que le malware peut laisser une porte dérobée persistante permettant aux attaquants de maintenir l’accès même après la collecte initiale des données.
La campagne met en lumière comment les attaquants s’appuient de plus en plus sur l’ingénierie sociale plutôt que sur l’exploitation des vulnérabilités techniques. En convainquant les victimes d’exécuter manuellement les commandes, le malware contourne de nombreuses défenses automatisées destinées à protéger les systèmes macOS.
Les chercheurs en sécurité recommandent de télécharger des logiciels uniquement depuis les sites officiels des développeurs ou les boutiques d’applications fiables. Ils conseillent également aux utilisateurs de considérer tout site web leur demandant de coller des commandes dans le Terminal comme suspect, car les applications légitimes nécessitent rarement cette méthode d’installation.