Ignoti cybercriminali hanno sfruttato la popolarità di CleanMyMac per distribuire malware. Se l’utente finisce sul sito fasullo deve seguire le istruzioni indicate per installare il software. Si tratta della diffusa tecnica ClickFix che viene usata in questo caso per rubare numerosi dati sensibili con il malware SHub Stealer.

Attenzione ai siti fake dei software

CleanMyMac è un software sviluppato da MacPaw che permette di ottimizzare le prestazioni di macOS eliminando file superflui. È a pagamento con prova gratis di 7 giorni. I cybercriminali hanno creato un sito simile a quello legittimo, dal quale è possibile il download senza pagare nulla. Gli esperti di Malwarebytes hanno trovato prove che indicano l’uso del malvertising (link sponsorizzato sui motori di ricerca) per pubblicizzare il software.

Sul sito fake sono scritti i comandi da copiare nel Terminale di macOS per scaricare il software. Nel comando c’è un URL che contiene il nome dello sviluppatore (MacPaw), quindi sembra legittimo. Viene invece scaricato uno script che svolge il compito di loader. Verifica innanzitutto se la lingua impostata è il russo (chiaro indizio sulla nazionalità dei cybercriminali).

Se la lingua è differente vengono inviate informazioni sul sistema (indirizzo IP, hostname e versione di macOS) al server remoto. In pratica viene creato un profilo univoco che consente di tracciare le singole vittime. Successivamente viene scaricato il payload principale, un AppleScript che chiude la finestra del Terminale e mostra un falso prompt di sistema per l’inserimento della password.

Dopo aver rubato la password (utile per accedere al macOS Keychain), SHub Stealer inizia la raccolta di numerosi dati sensibili, tra cui password, cookie e informazioni di pagamento da 14 browser basati su Chromium e Firefox, insieme alle credenziali di vari wallet per criptovalute (estensioni del browser e app dedicate).

Accede inoltre ai file in cui vengono solitamente conservate le chiavi API e i token di autenticazione. Tutti i dati rubati vengono infine compressi in un archivio ZIP e inviati al server remoto. Il consiglio è ovviamente non eseguire nessun comando nel Terminale. La versione legittima di CleanMyMac può essere scaricata dallo store di Apple.