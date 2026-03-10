D’après Malwarebytes, le site frauduleux, hébergé sous le domaine cleanmymacos[.]org, reprend l’apparence de la page officielle de l’outil développé par MacPaw et invite les internautes à suivre une méthode d’installation présentée comme avancée, consistant à ouvrir le Terminal et à y coller une commande censée lancer le logiciel.

En réalité, cette commande affiche d’abord une ligne destinée à rassurer l’utilisateur, décode une adresse masquée en base64, puis télécharge un script depuis un serveur distant avant de l’exécuter immédiatement sur le Mac. Ce premier programme agit comme un loader et s’interrompt si un clavier russe est détecté dans la configuration du système, une précaution souvent observée dans des campagnes menées par des groupes cybercriminels qui évitent généralement d’infecter des machines situées dans les pays de la CEI.

Si la machine passe ce premier contrôle, le loader envoie aussi plusieurs informations au serveur des attaquants, dont l’adresse IP externe, le nom d’hôte, la version de macOS et la locale du clavier, avant de récupérer la charge principale, un AppleScript constituant le cœur de SHub Stealer. Celui-ci affiche une fausse fenêtre imitant une demande système afin d’inciter la victime à saisir son mot de passe macOS, après quoi le malware peut accéder au trousseau du système et aux informations qui y sont stockées.

SHub Stealer parcourt ensuite le Mac dans le but de collecter différentes données. Le programme cible notamment plusieurs navigateurs basés sur Chromium ainsi que Firefox pour récupérer mots de passe enregistrés, cookies et données d’autocomplétion, et analyse les extensions installées pour repérer l’usage de portefeuilles crypto populaires. Il collecte aussi des données issues du Keychain, de Safari, d’iCloud, de Telegram, d’Apple Notes ou encore de l’historique shell.

En parallèle, SHub Stealer s’intéresse aussi à certaines applications de portefeuilles crypto installées sur le Mac, comme Exodus, Atomic Wallet, Ledger Wallet, Ledger Live ou Trezor Suite. Dans ces applications Electron, le malware remplace le fichier app.asar, qui contient la logique principale du logiciel, afin d’y injecter du code capable de transmettre aux attaquants les informations saisies lors du déverrouillage du portefeuille, y compris la phrase de récupération.

Enfin, pour conserver un accès durable à la machine, le malware installe également un agent exécuté automatiquement à chaque ouverture de session sous un nom imitant le service de mise à jour de Google Chrome, afin de se fondre plus facilement parmi les processus légitimes du système.