Une nouvelle campagne de piratage visant les utilisateurs Mac est en cours. Elle est aussi astucieuse que dévastatrice, alors la prudence est de mise : une fois installé, le malware est en mesure de siphonner les mots de passe, des dossiers sensibles, et même des cryptos.
Les chercheurs de Malwarebytes ont détecté les manigances d’un faux site web se faisant passer pour celui du logiciel CleanMyMac, un outil (complètement légitime) développé par MacPaw qui permet de nettoyer correctement son Mac. Le site frauduleux, cleanmymacos[.]org, ressemble à la page officielle de l’application. Il demande « simplement » aux visiteurs d’ouvrir une fenêtre du Terminal pour y coller une commande censée installer le logiciel.
Il suffit d’une commande pour infecter votre Mac
En réalité, cette commande télécharge et exécute un script malveillant sans afficher d’alerte ni de fenêtre d’installation. Cette technique, appelée « ClickFix », repose sur l’ingénierie sociale : l’utilisateur lance lui-même le malware, ce qui permet de contourner plusieurs protections de macOS, comme Gatekeeper.
Une fois installé, le malware SHub Stealer collecte un grand nombre d’informations sensibles : mots de passe enregistrés dans les navigateurs, données des navigateurs (cookies, informations de remplissage automatique, etc.), contenus du trousseau Apple, sessions Telegram, données iCloud, notes Apple, historique de commandes…
Le malware cible aussi les portefeuilles de cryptomonnaies, en récupérant des données provenant de nombreuses extensions et applications (MetaMask, Exodus, Ledger Live, Trezor, etc.). SHub Stealer peut aussi intégrer des portes dérobées dans certaines applications de portefeuille crypto. À chaque ouverture du portefeuille, le malware peut alors envoyer aux attaquants le mot de passe ou la phrase de récupération.
Enfin, le programme installe un agent persistant déguisé en service de mise à jour Google. Celui-ci se relance automatiquement à chaque connexion et peut recevoir des commandes à distance. Pour éviter ce cauchemar, la règle de base est la suivante : un logiciel légitime demande rarement de coller une commande dans Terminal pour s’installer. Ce type de procédure existe bien pour certains outils destinés aux développeurs ou aux utilisateurs avancés, mais elle est inhabituelle pour une application grand public.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Malwarebytes