Una sofisticata campagna di cybercriminalità sta colpendo gli utenti Mac attraverso un falso portale di CleanMyMac, il noto software di ottimizzazione sviluppato da MacPaw. I malfattori hanno replicato il sito ufficiale per indirizzare gli ignari visitatori verso il download di SHub Stealer, un pericoloso infostealer capace di razziare dati personali sensibili. Secondo l'analisi di Malwarebytes, gli autori dell'attacco hanno utilizzato il malvertising—annunci pubblicitari malevoli sui motori di ricerca—per promuovere la controfazione e aumentare il traffico verso la trappola digitale.

Il meccanismo d'attacco sfrutta la tecnica nota come ClickFix, ingannando gli utenti affinché copino ed eseguano comandi nel Terminale del Mac. Lo script presenta tutti i segni di legittimità, incluso il nome dello sviluppatore autentico nell'URL nascosto, per eludere i sospetti. Una volta lanciato, il malware verifica innanzitutto se il sistema è configurato in lingua russa—un dettaglio che tradisce l'origine geografica dei criminali. Se la lingua differisce, il loader invia un profilo univoco del dispositivo verso un server remoto, creando un'impronta digitale della vittima.

Successivamente, il payload principale si manifesta come un falso dialogo di sistema che richiede l'inserimento della password amministratore. Questo trucco psicologico consente ai criminali di ottenere l'accesso al Keychain di macOS, il caveau digitale dove il sistema memorizza le credenziali. Una volta in possesso di questa chiave maestra, SHub Stealer procede a esfiltrare un arsenale completo di dati sensibili: password memorizzate, cookie di sessione e informazioni di pagamento da quattordici browser Chromium e Firefox, oltre alle chiavi di accesso verso portafogli di criptovalute sia in forma di estensioni che di applicazioni dedicate.

L'infostealer non si arresta ai dati di navigazione. Il malware fruga sistematicamente nei file di configurazione alla ricerca di chiavi API e token di autenticazione, credenziali che si rivelano preziose per accedere a servizi online collegati. Tutto il bottino viene poi compresso in un archivio ZIP e trasmesso ai server controllati dagli attaccanti. Gli esperti di sicurezza sono categorici nel consiglio: non eseguire mai comandi sospetti nel Terminale e scaricare CleanMyMac esclusivamente dall'App Store ufficiale di Apple, l'unico canale sicuro per ottenere software autentico.