Usuários de macOS estão sob ameaça de um novo e sofisticado golpe que explora a confiança e a familiaridade com softwares legítimos. Um site fraudulento, que mimetiza o popular programa de limpeza CleanMyMac, está sendo utilizado como isca para instalar o SHub Stealer, um malware altamente destrutivo. Este invasor digital é capaz de roubar uma vasta gama de informações sensíveis, incluindo senhas, carteiras de criptomoedas e até sessões ativas do Telegram, transformando o computador da vítima em uma mina de ouro para cibercriminosos.
A Isca Perfeita: O Falso CleanMyMac e o Engano Inicial
A armadilha começa com um site clonado, alojado em um domínio falso como cleanmymacos[.]org, que reproduz fielmente a aparência e o design do portal oficial do CleanMyMac, desenvolvido pela MacPaw. Contudo, em vez de oferecer um download direto do software, a página instrui os visitantes a abrir o Terminal – uma ferramenta nativa do macOS para comandos diretos ao sistema operacional – e colar um script específico, seguido pela tecla Enter. Esta técnica, conhecida como 'ClickFix', não explora vulnerabilidades técnicas do sistema, mas sim a confiança e a inexperiência do usuário. Ao executar o comando por conta própria, as proteções automáticas do macOS são circumventadas, pois a ação é iniciada pelo próprio proprietário da máquina. De imediato, nada visível acontece, mas o processo de infecção já foi iniciado.
A Chave Mestra: Como o Malware Conquista o Acesso Total
Após a execução do comando inicial, um script malicioso, baixado secretamente dos servidores dos criminosos, entra em ação. Escrito em AppleScript, uma linguagem de programação nativa da Apple, ele possui permissões elevadas para interagir com o macOS de maneiras que programas externos geralmente não teriam. A primeira manobra do script é fechar a janela do Terminal, eliminando o rastro mais óbvio do ataque. Em seguida, ele exibe uma janela que imita perfeitamente um aviso legítimo do sistema operacional, completa com o ícone de cadeado da Apple e o título 'Preferências do Sistema', solicitando a senha do computador. Se a vítima a digitar, o malware valida-a instantaneamente; caso contrário, o prompt pode reaparecer até dez vezes. A senha do usuário é o item mais valioso nesta fase, pois permite ao SHub Stealer acessar o Keychain do macOS, o cofre digital da Apple que armazena senhas de sites, credenciais de Wi-Fi e chaves privadas de forma criptografada. Sem essa senha, o Keychain permaneceria impenetrável.
O Saque Digital: Varredura Extensa de Dados Sensíveis
Com a senha do sistema em mãos, o SHub Stealer inicia uma varredura meticulosa e abrangente. O malware vasculha 14 navegadores baseados no Chromium, como Chrome, Brave e Edge, além do Firefox, extraindo senhas salvas, cookies (que permitem acesso a sessões de login sem a necessidade de credenciais) e dados de preenchimento automático. A ambição do SHub Stealer se estende ao ecossistema de criptomoedas, verificando a presença de 102 extensões de carteiras de criptomoedas e coletando dados de 23 aplicativos dedicados, incluindo populares como Exodus, Ledger Live e Trezor Suite. Além disso, o ataque compromete o conteúdo do Keychain, dados do iCloud, o histórico completo do Safari, bancos de dados do Apple Notes e arquivos de sessão do Telegram. Todo esse material roubado é compactado em um arquivo ZIP e rapidamente enviado aos criminosos, esvaziando virtualmente a vida digital da vítima.
Persistência e Controle Remoto: O Backdoor da Ameaça
Mesmo após a exfiltração inicial dos dados, o golpe não se encerra. Se o SHub Stealer detectar aplicativos de carteiras de criptomoedas instalados – como Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite – ele age para garantir acesso contínuo. O malware substitui silenciosamente os arquivos centrais desses programas por versões comprometidas, uma tática conhecida como 'backdoor'. O objetivo primordial é obter a frase-semente (seed phrase) da carteira, uma sequência de 12 a 24 palavras que funciona como uma chave mestra irrevogável, permitindo o acesso eterno aos fundos de qualquer dispositivo. Dependendo do aplicativo, o SHub captura esta frase no momento do desbloqueio ou exibe uma tela falsa, induzindo a vítima a digitá-la manualmente.
Para consolidar seu domínio sobre a máquina, o SHub Stealer instala uma tarefa automática disfarçada de 'atualizador do Google'. Este processo roda a cada 60 segundos, mantendo uma conexão latente e aguardando novos comandos do servidor dos criminosos. Com essa persistência, o Mac da vítima se transforma, na prática, em um computador sob controle remoto de terceiros, perpetuando a ameaça e possibilitando futuras ações maliciosas sem qualquer intervenção do usuário.
Conclusão: Vigilância é a Melhor Defesa
A sofisticação do SHub Stealer e a astúcia do método 'ClickFix' reforçam a necessidade de extrema cautela por parte dos usuários de Mac. A ameaça destaca como a engenharia social pode ser tão, ou mais, eficaz que vulnerabilidades técnicas, especialmente quando imita serviços conhecidos. É crucial verificar sempre a autenticidade dos sites antes de baixar qualquer software ou executar comandos no Terminal, e duvidar de qualquer solicitação de senha que pareça incomum. Manter o sistema operacional e os softwares atualizados, utilizar senhas fortes e exclusivas, e ter uma solução de segurança confiável são passos fundamentais para proteger seus dados contra este e outros ataques cibernéticos em constante evolução.
Fonte: https://www.tecmundo.com.br
