Security researchers at Malwarebytes hebben een malwarecampagne geïdentificeerd die zich richt op macOS-gebruikers via een frauduleuze website die zich voordoet als het populaire systeemprogramma CleanMyMac. De operatie verspreidt een informatie-stelende malware die is ontworpen om wachtwoorden, cryptocurrency-walletgegevens en andere gevoelige informatie van geïnfecteerde apparaten te verzamelen.
De kwaadaardige campagne is gebaseerd op een nepwebsite die de legitieme productpagina van CleanMyMac nauwkeurig imiteert. CleanMyMac is een macOS-onderhouds- en optimalisatietool ontwikkeld door MacPaw en gebruikt door miljoenen Mac-gebruikers om opslag en systeemprestaties te beheren. De site van de aanvallers presenteert zich als een downloadportaal voor de software, maar is niet verbonden met MacPaw of de officiële CleanMyMac-applicatie.
Volgens beveiligingsonderzoekers leidt de neppagina bezoekers naar een domein dat is ontworpen om op de legitieme site te lijken. Slachtoffers krijgen de instructie om de Terminal-applicatie op hun Mac te openen en een commando op de pagina te plakken. Het uitvoeren van het commando downloadt en installeert malware direct van een door aanvallers gecontroleerde server.
De techniek die bij de aanval wordt gebruikt, staat bekend als “ClickFix,” een social engineering-methode die gebruikers ertoe aanzet kwaadaardige commando’s zelf uit te voeren. Omdat het commando vrijwillig door de gebruiker wordt uitgevoerd, blokkeren veel van macOS’s ingebouwde beveiligingen, zoals Gatekeeper, notarisatiecontroles en XProtect, de installatie niet.
Na uitvoering installeert het commando SHub Stealer, een macOS-informatie-diefstal malware. De malware is ontworpen om gevoelige gegevens te verzamelen van het gecompromitteerde systeem, waaronder browsergegevens, opgeslagen wachtwoorden, Apple Keychain-informatie, cryptocurrency-walletbestanden en sessies van het berichtenplatform zoals Telegram.
Onderzoekers merkten ook op dat de malware probeert bepaalde cryptocurrency-walletapplicaties te wijzigen zodat aanvallers later toegang hebben tot herstelzinnen of andere authenticatie-informatie. Wallet-applicaties die mogelijk worden aangepakt zijn onder andere Exodus, Atomic Wallet en Ledger-gerelateerde software.
De aanvalssequentie begint met een klein loaderscript dat het systeem voorbereidt voordat de volledige payload wordt geleverd. In sommige gevallen controleert het script de systeeminstellingen om de locatie of taalconfiguratie van het apparaat te bepalen voordat het infectieproces wordt voortgezet.
Na installatie kan de malware op het systeem blijven en blijven communiceren met door aanvallers gecontroleerde infrastructuur. Naast het stelen van data zeggen onderzoekers dat de malware een blijvende achterdeur kan achterlaten waardoor aanvallers toegang behouden, zelfs nadat de eerste gegevensverzameling is uitgevoerd.
De campagne benadrukt hoe aanvallers steeds meer vertrouwen op sociale engineering in plaats van technische kwetsbaarheden uit te buiten. Door slachtoffers te overtuigen om handmatig commando’s uit te voeren, omzeilt de malware veel van de geautomatiseerde verdedigingen die ontworpen zijn om macOS-systemen te beschermen.
Beveiligingsonderzoekers raden aan om alleen software te downloaden van officiële ontwikkelaarswebsites of betrouwbare appwinkels. Ze adviseren gebruikers ook om elke website die hen opdracht geeft commando’s in de Terminal te plakken als verdacht te beschouwen, aangezien legitieme applicaties deze installatiemethode zelden vereisen.