Un site frauduleux imitant CleanMyMac incite les utilisateurs à exécuter une commande Terminal. Cette action installe le malware SHub Stealer, capable de dérober mots de passe, données du Trousseau Apple et d'intégrer des portes dérobées dans les portefeuilles de cryptomonnaies pour siphonner les actifs numériques. La vigilance est cruciale face à cette méthode qui contourne les protections de macOS.
Les chercheurs en sécurité de Malwarebytes ont mis en lumière une nouvelle menace sophistiquée visant l'écosystème Apple. Un site web, cleanmymacos[.]org, copie à l'identique la page officielle de CleanMyMac, un utilitaire de nettoyage légitime. Plutôt que de proposer un téléchargement classique, le site demande aux visiteurs de copier-coller une ligne de commande dans le Terminal de leur Mac. Cette méthode, connue sous le nom de « ClickFix », repose sur l'ingénierie sociale et permet de contourner les principales barrières de sécurité de macOS, comme Gatekeeper.Comment le malware SHub Stealer opère-t-il une fois installé ?
Une fois la commande exécutée, le malware baptisé SHub Stealer s'infiltre discrètement. Sa première mission est une collecte massive d'informations sensibles. Il s'attaque aux navigateurs (Chrome, Firefox, Brave...) pour extraire les mots de passe enregistrés, les cookies et les données de remplissage automatique. Le Trousseau d'accès Apple, qui centralise les informations d'identification, est également une cible prioritaire, tout comme les sessions Telegram et les données de synchronisation iCloud.
Une particularité de l'attaque est son système de « geofencing » : le script vérifie la présence d'un clavier en langue russe. Si c'est le cas, il se désactive pour éviter d'infecter des machines dans la sphère d'influence des pays de la CEI. C'est une pratique courante chez certains groupes de cybercriminels pour éviter les poursuites locales en ne s'attaquant pas à leurs compatriotes.Quel est le risque spécifique pour les portefeuilles de cryptomonnaies ?
Le véritable danger de SHub Stealer réside dans sa capacité à cibler les actifs numériques. Le logiciel malveillant ne se contente pas de chercher les données de plus de 100 extensions de portefeuilles de cryptomonnaies comme MetaMask ou Phantom.
Il va beaucoup plus loin en modifiant directement le code source de certaines applications de bureau populaires telles qu'Exodus, Atomic Wallet, Ledger Live et Trezor Suite. Cette manipulation, totalement invisible pour l'utilisateur, installe une porte dérobée (backdoor). À chaque fois que la victime déverrouille son portefeuille, le malware envoie discrètement le mot de passe et la phrase de récupération aux serveurs des attaquants, leur donnant un accès total aux fonds.
Comment le logiciel malveillant assure-t-il sa persistance et comment s'en protéger ?Pour garantir un accès à long terme, SHub Stealer met en place un agent persistant. Il se déguise en un service de mise à jour légitime de Google et se lance automatiquement à chaque démarrage du Mac. Cet agent peut recevoir et exécuter des commandes à distance, offrant aux pirates un contrôle continu sur la machine infectée et ses données.
Pour se prémunir contre ce type d'arnaque, la règle d'or est simple : un logiciel grand public ne demande quasiment jamais l'exécution d'une commande dans le Terminal pour son installation. Cette procédure est généralement réservée aux développeurs ou aux utilisateurs avancés. Il est donc impératif de ne télécharger des applications que depuis le Mac App Store ou le site officiel de l'éditeur.
merci à GNT
