Descoberta e Escopo da Campanha
Uma campanha de malware sofisticada tem sido identificada por pesquisadores de segurança, utilizando um site falso que se passa pela popular utilidade CleanMyMac para distribuir o infostealer SHub no ecossistema macOS. O site malicioso, hospedado em cleanmymacos[.]org, não possui qualquer conexão com a MacPaw, desenvolvedora legítima do software original. A campanha foi analisada em detalhes pela equipe da Malwarebytes, que mapeou toda a cadeia de infecção e identificou características únicas que diferenciam o SHub de outros malwares da família.
O ataque explora uma técnica conhecida como ClickFix, que engana os usuários para que abram o Terminal do macOS e cole um comando de instalação. Esse comando, disfarçado de legítimo, imprime um link falso da MacPaw, decodifica uma URL oculta em base64 e baixa um script malicioso do servidor do atacante. Como o usuário executa o comando manualmente, as defesas nativas do macOS, como o Gatekeeper, o XProtect e as verificações de notarização, oferecem proteção limitada contra essa vetor de ataque.
Funcionalidades e Impacto nas Carteiras
O que torna o SHub particularmente perigoso é sua capacidade de backdoorar aplicativos de carteira de criptomoedas instalados. Ao detectar aplicativos como Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite, o malware substitui silenciosamente o arquivo de lógica central (app.asar) por uma versão modificada. O aplicativo continua funcionando normalmente, mas exfiltra credenciais em segundo plano.
Para as carteiras Exodus e Atomic, o malware configura o envio silencioso da senha e da seed phrase para um endpoint controlado pelos atacantes sempre que a carteira é desbloqueada. No caso do Ledger, a validação TLS é desabilitada e um assistente de recuperação falso coleta a seed phrase. O Trezor Suite recebe uma sobreposição de tela completa que simula uma atualização de segurança, validando a seed phrase usando a própria biblioteca BIP39 do aplicativo antes de enviar os dados.
Persistência e Evidências
Para garantir acesso de longo prazo, o SHub instala uma tarefa de fundo chamada com.google.keystone.agent.plist na pasta ~/Library/LaunchAgents/, impersonando o atualizador Keystone do Google. Essa tarefa executa comandos remotos a cada sessenta segundos. Além disso, o malware inclui lógica de geofencing que verifica se um teclado em russo está instalado; se sim, o malware sinaliza o servidor e sai sem coletar dados, comportamento comum em redes criminosas russas que evitam países da Comunidade de Estados Independentes.
Os atacantes enviam o IP, versão do macOS e hostname do host para o servidor de comando e controle res2erch-sl0ut[.]com. Todas as cinco carteiras backdooradas exfiltram dados para o mesmo endpoint wallets-gate[.]io, apontando para um único operador.
Recomendações de Segurança
Usuários que executaram o comando do site fake devem fechar a página imediatamente, remover o arquivo com.google.keystone.agent.plist da pasta LaunchAgents e verificar a pasta GoogleUpdate.app. Se qualquer uma das cinco carteiras alvo foi instalada, a seed phrase deve ser considerada comprometida, e os fundos devem ser movidos para uma nova carteira em um dispositivo limpo. É essencial alterar a senha de login do macOS e credenciais armazenadas no Keychain de um dispositivo confiável.