Site falso de limpeza para Mac esconde malware que rouba tudo

Um site falso que imita o CleanMyMac, programa legítimo de limpeza para Mac desenvolvido pela MacPaw, está sendo usado para instalar um malware chamado SHub Stealer, capaz de roubar senhas, carteiras de criptomoedas e sessões do Telegram nas máquinas das vítimas.

Ataque começa com uma instrução simples

O site falso, hospedado no endereço cleanmymacos[.]org, foi construído para parecer idêntico ao site oficial do CleanMyMac. Em vez de oferecer um arquivo para baixar, a página pede que a vítima abra o Terminal, um programa presente em todo Mac que permite enviar comandos diretamente ao sistema operacional, cole um texto e pressione Enter.

Essa técnica se chama ClickFix e, em vez de explorar uma falha técnica do sistema, o ataque explora a confiança da própria pessoa.

Quando a vítima executa o comando por conta própria, as proteções automáticas do macOS ficam de mãos atadas. Do ponto de vista da vítima, nada acontece depois disso. 

A senha que abre tudo

Após a execução, um script baixado do servidor dos criminosos entra em ação. Ele é escrito em AppleScript, uma linguagem de programação nativa da Apple usada para automatizar tarefas no Mac. Por ser parte do próprio sistema, ela tem permissão para interagir com o macOS de formas que programas externos normalmente não teriam.

A primeira coisa que o script faz é fechar a janela do Terminal aberta, apagando o sinal mais visível do ataque. Em seguida, exibe uma janela que imita um aviso legítimo do macOS, com o ícone de cadeado da Apple e o título "Preferências do Sistema", solicitando a senha do computador.

Se a vítima digitar, o malware valida imediatamente. Se estiver incorreta, o prompt aparece de novo e pode repetir até dez vezes.

A senha é o item mais valioso dessa fase. Com ela, o malware acessa o Keychain do macOS, o cofre digital da Apple onde ficam armazenadas senhas de sites, credenciais de Wi-Fi e chaves privadas. Sem ela, esse cofre é apenas um conjunto de dados criptografados e ilegíveis.

Varredura não deixa nada para trás

Com a senha em mãos, o SHub inicia uma varredura sistemática. O malware examina 14 navegadores baseados no Chromium, como Chrome, Brave e Edge, roubando senhas salvas, cookies - arquivos que registram sessões de login e podem ser usados para acessar contas sem precisar da senha, e dados de preenchimento automático. O Firefox recebe o mesmo tratamento.

O SHub também verifica se há 102 extensões de carteiras de criptomoedas instaladas no navegador e coleta dados de 23 aplicativos de carteira como Exodus, Ledger Live e Trezor Suite.

Além disso, captura o conteúdo do Keychain, dados do iCloud, histórico do Safari, bancos de dados do Apple Notes e arquivos de sessão do Telegram. Todo o material é compactado em um arquivo ZIP e enviado aos criminosos.

Golpe continua mesmo depois do sucesso

Se encontrar aplicativos de carteira instalados, o SHub substitui silenciosamente o arquivo central de funcionamento desses programas por uma versão comprometida, uma técnica chamada de backdoor. Os alvos são Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite.

O objetivo é sempre o mesmo e inclui obter a frase-semente da carteira, uma sequência de 12 a 24 palavras que funciona como chave mestra. Quem tiver essa frase pode acessar todos os fundos de qualquer dispositivo, para sempre, porque diferente de uma senha, ela não pode ser trocada.

Dependendo do aplicativo, o malware captura essa frase no momento do desbloqueio ou exibe uma tela falsa pedindo que a vítima a digite manualmente.

Para garantir acesso contínuo, o SHub instala uma tarefa automática disfarçada de atualizador do Google que roda a cada 60 segundos e aguarda novos comandos do servidor dos criminosos. O Mac da vítima se torna, na prática, um computador sob controle remoto de terceiros.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.