Security researchers at Malwarebytes identificaram uma campanha de malware direcionada a usuários do macOS por meio de um site fraudulento que se passa pelo popular utilitário do sistema CleanMyMac. A operação distribui um malware que rouba informações, projetado para coletar senhas, dados de carteiras de criptomoedas e outras informações sensíveis de dispositivos infectados.
A campanha maliciosa depende de um site falso que imita de perto a página legítima do produto CleanMyMac. CleanMyMac é uma ferramenta de manutenção e otimização do macOS desenvolvida pela MacPaw e usada por milhões de usuários de Mac para gerenciar armazenamento e desempenho do sistema. O site dos atacantes se apresenta como um portal de download para o software, mas não está conectado ao MacPaw nem ao aplicativo oficial CleanMyMac.
Segundo pesquisadores de segurança, a página falsa direciona os visitantes para um domínio projetado para se assemelhar ao site legítimo. As vítimas são instruídas a abrir o aplicativo Terminal em seu Mac e colar um comando fornecido na página. Executar o comando baixa e instala malware diretamente de um servidor controlado pelo atacante.
A técnica usada no ataque é conhecida como “ClickFix”, um método de engenharia social que persuade os usuários a executarem comandos maliciosos por conta própria. Como o comando é executado voluntariamente pelo usuário, muitas das proteções embutidas do macOS, como Gatekeeper, verificações de notarização e XProtect, não bloqueiam a instalação.
Uma vez executado, o comando instala o SHub Stealer, um malware que rouba informações no macOS. O malware foi projetado para coletar dados sensíveis do sistema comprometido, incluindo dados do navegador, senhas salvas, informações do Chaveiro da Apple, arquivos de carteiras de criptomoedas e sessões de plataformas de mensagens como o Telegram.
Pesquisadores também observaram que o malware tenta modificar certos aplicativos de carteiras de criptomoedas para que atacantes possam acessar posteriormente frases de recuperação ou outras informações de autenticação. Aplicações de carteira potencialmente alvo incluem Exodus, Atomic Wallet e softwares relacionados ao Ledger.
A sequência de ataque começa com um pequeno script de carregador que prepara o sistema antes que a carga útil completa seja entregue. Em alguns casos, o script verifica as configurações do sistema para determinar a localização do dispositivo ou a configuração do idioma antes de continuar com o processo de infecção.
Após a instalação, o malware pode permanecer no sistema e continuar se comunicando com a infraestrutura controlada pelo atacante. Além de roubar dados, pesquisadores afirmam que o malware pode deixar uma porta traseira persistente que permite aos atacantes manter o acesso mesmo após a coleta inicial dos dados.
A campanha destaca como os atacantes dependem cada vez mais da engenharia social em vez de explorar vulnerabilidades técnicas. Ao convencer as vítimas a executar comandos manualmente, o malware contorna muitas das defesas automatizadas projetadas para proteger sistemas macOS.
Pesquisadores de segurança recomendam baixar softwares apenas de sites oficiais de desenvolvedores ou lojas de aplicativos confiáveis. Eles também aconselham os usuários a tratar qualquer site que os instrua a colar comandos no Terminal como suspeito, já que aplicativos legítimos raramente exigem esse método de instalação.