Golpes, Inteligência de Ameaças

Site falso do CleanMyMac instala o SHub Stealer e backdoors em carteiras de criptomoedas

por Stefan Dasic | 6 de março de 2026
Site falso do CleanMyMac baixa um programa para roubar informações

Uma versão falsa convincente do popular Mac CleanMyMac Mac está levando os usuários a instalar malware.

O site instrui os visitantes a colar um comando no Terminal. Se o fizerem, ele instala o SHub Stealer, um malware para macOS projetado para roubar dados confidenciais, incluindo senhas salvas, dados do navegador, conteúdo do Apple Keychain, carteiras de criptomoedas e sessões do Telegram. Ele pode até mesmo modificar aplicativos de carteira como Exodus, Atomic Wallet, Ledger Wallet e Ledger Live para que os invasores possam roubar posteriormente a frase de recuperação da carteira.

O site se faz passar pelo site do CleanMyMac, mas não tem nenhuma ligação com o software legítimo ou com os desenvolvedores, a MacPaw.

Lembre-se: aplicativos legítimos quase nunca exigem que você cole comandos no Terminal para instalá-los. Se um site solicitar que você faça isso, considere isso um grande sinal de alerta e não prossiga. Em caso de dúvida, baixe o software apenas do site oficial do desenvolvedor ou da App Store.

Leia a análise detalhada para ver o que descobrimos.

Um site falso que se faz passar pelo CleanMyMac, que instala o SHub Stealer

“Abra o Terminal e cole o seguinte comando”

O ataque começa em cleanmymacos[.]org, um site projetado para se parecer com a página real do produto CleanMyMac. Os visitantes veem o que parece ser uma opção de instalação avançada, do tipo que um usuário experiente esperaria encontrar. A página instrui-os a abrir o Terminal, colar um comando e pressionar Return. Não há solicitação de download, imagem de disco ou diálogo de segurança.

Esse comando executa três ações em rápida sucessão:

  • Primeiro, ele imprime uma linha tranquilizadora: macOS-CleanMyMac-App: https://macpaw.com/cleanmymac/us/app para fazer com que a saída do Terminal pareça legítima.
  • Em seguida, decodifica um link codificado em base64 que oculta o destino real.
  • Por fim, ele baixa um script shell do servidor do invasor e o encaminha diretamente para zsh para execução imediata.

Do ponto de vista do usuário, nada de incomum acontece.

Essa técnica, conhecida como ClickFix, tornou-se um método comum de entrega para Mac . Em vez de explorar uma vulnerabilidade, ela induz o usuário a executar o malware por conta própria. Como o comando é executado voluntariamente, proteções como Gatekeeper, verificações de notarização e XProtect oferecem pouca proteção depois que o usuário cola o comando e pressiona Return.

O site falso do CleanMyMac instrui o usuário a abrir o Terminal e colar um comando.

Geofencing: Nem todos recebem a carga útil

O primeiro script que chega ao Mac da vítima Mac um carregador, que é um pequeno programa que verifica o sistema antes de continuar o ataque.

Uma das primeiras verificações é nas configurações do teclado do macOS para ver se um teclado em russo está instalado. Se encontrar um, o malware envia um cis_blocked evento para o servidor do invasor e sai sem fazer mais nada.

Essa é uma forma de geofencing. Malwares ligados a grupos de cibercriminosos de língua russa geralmente evitam infectar máquinas que parecem pertencer a usuários em países da CEI (Comunidade dos Estados Independentes, que inclui a Rússia e vários países vizinhos). Ao evitar sistemas que parecem pertencer a usuários russos, os invasores reduzem o risco de atrair a atenção das autoridades locais.

O comportamento não prova onde o SHub foi desenvolvido, mas segue um padrão há muito observado nesse ecossistema, onde o malware é configurado para não infectar sistemas na própria região dos operadores.

Detectar CIS e bloquear com telemetria

Se o sistema passar nessa verificação, o carregador envia um perfil da máquina para o servidor de comando e controle em res2erch-sl0ut[.]com. O relatório inclui o endereço IP externo do dispositivo, o nome do host, a versão do macOS e a localidade do teclado.

Cada relatório é marcado com um hash de compilação exclusivo, um identificador de 32 caracteres que funciona como um ID de rastreamento. O mesmo identificador aparece em comunicações posteriores com o servidor, permitindo que os operadores associem a atividade a uma vítima ou campanha específica.

“As Preferências do Sistema precisam da sua senha para continuar”

A comparação entre as cargas úteis servidas com e sem um hash de compilação revela outro campo no nível da campanha no criador de malware: BUILD_NAME. Na amostra vinculada a um hash de compilação, o valor é definido como PAds; na versão sem hash, o campo fica vazio. O valor é incorporado no script heartbeat do malware e enviado ao servidor de comando e controle (C2) durante cada check-in do beacon, juntamente com o ID do bot e o ID da compilação.

O que PAds não pode ser confirmado apenas a partir da carga útil, mas sua estrutura corresponde ao tipo de tag de origem de tráfego comumente usada em campanhas de pagamento por instalação ou publicidade para rastrear a origem das infecções. Se essa interpretação estiver correta, isso sugere que as vítimas podem estar acessando o site falso do CleanMyMac por meio de anúncios pagos, em vez de pesquisas orgânicas ou links diretos.

Assim que o carregador confirma um alvo viável, ele baixa e executa a carga útil principal: um AppleScript hospedado em res2erch-sl0ut[.]com/debug/payload.applescriptO AppleScript é a linguagem de automação integrada da Apple, que permite que o malware interaja com o macOS usando recursos legítimos do sistema. Sua primeira ação é fechar a janela do Terminal que o iniciou, removendo o sinal mais óbvio de que algo aconteceu.

Em seguida, vem a coleta de senhas. O script exibe uma caixa de diálogo que imita fielmente um prompt legítimo do sistema macOS. O título é “Preferências do Sistema”, a janela mostra o ícone do cadeado da Apple e a mensagem diz:

A formulação estranha — “para continuar” em vez de “continuar” — é uma pista de que a solicitação é falsa, embora muitos usuários sob pressão possam não perceber isso.

“Assistente de aplicativo necessário. Digite a senha para continuar.”

Se o usuário inserir sua senha, o malware verifica imediatamente se ela está correta usando a ferramenta de linha de comando do macOS. dscl. Se a senha estiver incorreta, ela será registrada e o prompt aparecerá novamente. O script repetirá o prompt até dez vezes até que uma senha válida seja inserida ou as tentativas se esgotem.

Essa senha é valiosa porque desbloqueia o Keychain do macOS, o sistema de armazenamento criptografado da Apple para senhas salvas, credenciais Wi-Fi, tokens de aplicativos e chaves privadas. Sem a senha de login, o banco de dados do Keychain é apenas um conjunto de dados criptografados. Com ela, o conteúdo pode ser descriptografado e lido.

Uma varredura sistemática de tudo o que vale a pena roubar

Com a senha em mãos, o SHub inicia uma varredura sistemática da máquina. Todos os dados coletados são armazenados em uma pasta temporária com nome aleatório — algo como /tmp/shub_4823917/—antes de serem embalados e enviados aos atacantes.

A segmentação do navegador é extensa. O SHub pesquisa 14 navegadores baseados no Chromium (Chrome, Brave, Edge, Opera, OperaGX, Vivaldi, Arc, Sidekick, Orion, Coccoc, Chrome , Chrome , Chrome e Chromium), roubando senhas salvas, cookies e dados de preenchimento automático de todos os perfis que encontra. O Firefox recebe o mesmo tratamento para credenciais armazenadas.

O malware também verifica as extensões instaladas no navegador, procurando 102 extensões conhecidas de carteiras de criptomoedas por seus identificadores internos. Entre elas estão MetaMask, Phantom, Coinbase Wallet, Exodus Web3, Trust Wallet, Keplr e muitas outras.

Os aplicativos de carteira para desktop também são alvo. O SHub coleta dados de armazenamento local de 23 aplicativos de carteira, incluindo Exodus, Electrum, Atomic Wallet, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core, Monero, Litecoin Core, Dogecoin Core, BlueWallet, Ledger Live, Ledger Wallet, Trezor Suite, Binance e TON Keeper. Cada pasta de carteira tem um limite de 100 MB para manter o arquivo gerenciável.

Além de carteiras e navegadores, o SHub também captura o diretório Keychain do macOS, dados da conta iCloud, cookies e dados de navegação do Safari, bancos de dados do Apple Notes e arquivos de sessão do Telegram — informações que podem permitir que invasores sequestrem contas sem saber as senhas.

Ele também copia os arquivos de histórico do shell (.zsh_history e .bash_history) e .gitconfig, que muitas vezes contêm chaves API ou tokens de autenticação usados por desenvolvedores.

Todos esses dados são compactados em um arquivo ZIP e enviados para res2erch-sl0ut[.]com/gate juntamente com uma chave API codificada que identifica a versão do malware. O arquivo e os arquivos temporários são então excluídos, deixando vestígios mínimos no sistema.

Captura de tela da execução principal da depuração

A parte que continua roubando depois que você limpou tudo

A maioria dos infostealers são operações rápidas: eles são executados uma vez, pegam tudo e vão embora. O SHub faz isso, mas também vai um passo além.

Se encontrar determinados aplicativos de carteira instalados, ele baixa um substituto para o arquivo de lógica central do aplicativo do servidor do invasor e o troca silenciosamente. Recuperamos e analisamos cinco desses substitutos. Todos os cinco eram backdoors, cada um adaptado à arquitetura do aplicativo alvo.

Os alvos são aplicativos baseados em Electron. Trata-se de aplicativos de desktop desenvolvidos com tecnologias web, cuja lógica central reside em um arquivo chamado app.asar. O SHub encerra o aplicativo em execução e baixa um substituto. app.asar do servidor C2, substitui o original dentro do pacote do aplicativo, remove a assinatura do código e assina novamente o aplicativo para que o macOS o aceite. O processo é executado silenciosamente em segundo plano.

Os cinco aplicativos de carteira criptográfica confirmados são Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite.

Exodus: roubo silencioso de credenciais a cada desbloqueio

A cada desbloqueio da carteira, o aplicativo modificado envia silenciosamente a senha e a frase-semente do usuário para wallets-gate[.]io/api/injection. Um bypass de uma linha é adicionado ao filtro de rede para permitir a solicitação através da lista de domínios permitidos do Exodus.

Atomic Wallet: a mesma exfiltração, sem necessidade de desvio

A cada desbloqueio, o aplicativo modificado envia a senha e a mnemônica do usuário para wallets-gate[.]io/api/injectionNão é necessário contornar o filtro de rede — a Política de Segurança de Conteúdo da Atomic Wallet já permite conexões HTTPS de saída para qualquer domínio.

Carteira Ledger: contorno de TLS e um assistente de recuperação falso

O aplicativo modificado desativa a validação do certificado TLS na inicialização. Cinco segundos após o lançamento, ele substitui a interface por um assistente de recuperação falso de três páginas que solicita ao usuário sua frase-semente e a envia para wallets-gate[.]io/api/injection.

Ledger Live: modificações idênticas

O Ledger Live recebe as mesmas modificações que a Ledger Wallet: a validação TLS é desativada e o usuário é apresentado ao mesmo assistente de recuperação falso.

Trezor Suite: sobreposição falsa de atualização de segurança

Após o carregamento do aplicativo, uma sobreposição em tela cheia com estilo semelhante à interface do Trezor Suite é exibida, apresentando uma falsa atualização de segurança crítica que solicita a frase-semente do usuário. A frase é validada usando a biblioteca BIP39 integrada ao aplicativo antes de ser enviada para wallets-gate[.]io/api/injection.

Ao mesmo tempo, o mecanismo de atualização do aplicativo é desativado por meio da interceptação da loja Redux, de modo que a versão modificada permanece no lugar.

Cinco carteiras, um terminal, um operador

Em todas as cinco aplicações modificadas, a infraestrutura de exfiltração é idêntica: a mesma wallets-gate[.]io/api/injection ponto final, a mesma chave API e o mesmo ID de compilação.

Cada solicitação inclui um campo que identifica a carteira de origem—exodus, atomic, ledger, ledger_liveou trezor_suite—permitindo que o backend encaminhe as credenciais recebidas por produto.

Essa consistência em cinco aplicativos modificados independentemente sugere fortemente que um único operador criou todas as backdoors contra a mesma infraestrutura de back-end.

Captura de tela mostrando o código do ladrão.

Uma porta dos fundos persistente disfarçada como o próprio serviço de atualização do Google

Para manter o acesso a longo prazo, o SHub instala um LaunchAgent, que é uma tarefa em segundo plano que o macOS executa automaticamente sempre que o usuário faz login. O arquivo é colocado em:

~/Library/LaunchAgents/com.google.keystone.agent.plist

A localização e o nome são escolhidos para imitar o atualizador Keystone legítimo do Google. A tarefa é executada a cada sessenta segundos.

Cada vez que é executado, ele inicia um script bash oculto localizado em:

~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate

O script coleta um identificador de hardware exclusivo do Mac o IOPlatformUUID) e o envia para o servidor do invasor como um ID de bot. O servidor pode responder com comandos codificados em base64, que o script decodifica, executa e, em seguida, exclui.

Na prática, isso dá aos invasores a capacidade de executar comandos no Mac infectado Mac qualquer momento, até que o mecanismo de persistência seja descoberto e removido.

A etapa final é uma mensagem de erro falsa exibida ao usuário:

Mac seu Mac não suporta esta aplicação. Tente reinstalar ou baixar a versão para o seu sistema.”

Isso explica por que o CleanMyMac parecia não instalar e levava a vítima a tentar resolver um problema que, na verdade, não existia.

O lugar do SHub em uma família crescente de Mac

O SHub não é uma criação isolada. Ele pertence a uma família em rápida evolução deinfostealers para macOS baseados em AppleScript, incluindo campanhas como o MacSync Stealer (uma versão expandida do malware conhecido como Mac.c, visto pela primeira vez em abril de 2025) e o Odyssey Stealer, e compartilha características com outros malwares de roubo de credenciais, como o Atomic Stealer.

Essas famílias compartilham uma arquitetura semelhante: uma cadeia de entrega ClickFix, uma carga útil AppleScript, uma solicitação falsa de senha nas Preferências do Sistema, funções recursivas de coleta de dados e exfiltração por meio de um arquivo ZIP carregado em um servidor de comando e controle.

O que distingue o SHub é a sofisticação de sua infraestrutura. Recursos como hashes de compilação por vítima para rastreamento de campanhas, segmentação detalhada de carteiras, backdoor em aplicativos de carteira e um sistema de heartbeat capaz de executar comandos remotos sugerem que o autor estudou variantes anteriores e investiu pesadamente em sua expansão. O resultado se assemelha mais a uma plataforma de malware como serviço do que a um simples infostealer.

A presença de um DEBUG A tag no identificador interno do malware, juntamente com a telemetria detalhada que ele envia durante a execução, sugere que o criador ainda estava em desenvolvimento ativo no momento da análise.

A campanha também se encaixa em um padrão mais amplo de ataques de falsificação de marcas. Pesquisadores documentaram campanhas semelhantes do ClickFix falsificando repositórios do GitHub, Google Meet, plataformas de mensagens e outras ferramentas de software, cada uma delas projetada para convencer os usuários de que estão seguindo instruções de instalação legítimas. O site cleanmymacos.org parece seguir o mesmo manual, usando um Mac bem conhecido como isca.

O que fazer se você tiver sido afetado

A parte mais eficaz desse ataque é também a mais simples: ele convence a vítima a executar o comando malicioso por conta própria.

Ao apresentar um comando do Terminal como uma etapa legítima da instalação, a campanha contorna muitas das proteções integradas do macOS. Não é necessário baixar nenhum aplicativo, nenhuma imagem de disco é aberta e nenhum aviso de segurança óbvio aparece. O usuário simplesmente cola o comando e pressiona Return.

Isso reflete uma tendência mais ampla: o macOS está se tornando um alvo mais atraente, e as ferramentas utilizadas pelos invasores estão se tornando mais capazes e profissionais. O SHub Stealer, mesmo em seu estado atual, representa um avanço em relação a muitos outros infostealers anteriores para macOS.

Para a maioria dos usuários, a regra mais segura é também a mais simples: instale software apenas da App Store ou do site oficial do desenvolvedor. A App Store lida com a instalação automaticamente, portanto, não há comando de terminal, nem suposições, nem momentos em que você precisa decidir se deve confiar em um site aleatório.

  • Não execute o comando. Se você ainda não executou o comando do Terminal mostrado em cleanmymacos[.]org ou em um site semelhante, feche a página e não volte.
  • Verifique se há o agente de persistência. Aberto Localizador, pressione Cmd + Shift + Ge navegue até ~/Library/LaunchAgents/.
    Se você vir um arquivo chamado com.google.keystone.agente.plist que você não instalou, exclua-o. Verifique também: ~/Library/Application Support/Google/. Se uma pasta chamada GoogleUpdate.app está presente e você não o instalou, remova-o.
  • Trate a frase-semente da sua carteira como comprometida. Se você tem o Exodus, Atomic Wallet, Ledger Live, Ledger Wallet ou Trezor Suite instalado e executou este comando, considere que sua frase-semente e senha da carteira foram expostas. Transfira seus fundos imediatamente para uma nova carteira criada em um dispositivo limpo. As frases-semente não podem ser alteradas, e qualquer pessoa com uma cópia pode acessar a carteira.
  • Altere suas senhas. Sua senha de login do macOS e quaisquer senhas armazenadas no seu navegador ou Keychain devem ser consideradas expostas. Altere-as em um dispositivo confiável.
  • Revogue tokens confidenciais. Se o seu histórico do shell contiver chaves de API, chaves SSH ou tokens de desenvolvedor, revogue-os e gere-os novamente.
  • Execute Malwarebytes Mac. Ele pode detectar e remover os componentes restantes da infecção, incluindo o LaunchAgent e os arquivos modificados.

Indicadores de comprometimento (IOCs)

Domínios

  • cleanmymacos[.]org — site de phishing que se faz passar pelo CleanMyMac
  • res2erch-sl0ut[.]com — servidor principal de comando e controle (entrega do carregador, telemetria, exfiltração de dados)
  • wallets-gate[.]io — C2 secundário usado por backdoors de carteiras para extrair frases-semente e senhas

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

IA
clones falsos do OpenClaw

Cuidado com instaladores falsos do OpenClaw, mesmo que o Bing o direcione para o GitHub.

Março 6, 2026

Os resultados da pesquisa do Bing direcionavam as vítimas para repositórios do GitHub que alegavam hospedar instaladores do OpenClaw, mas, na realidade, instalavam malware.

Produto
Ilustração de um dispositivo físico de trituração de arquivos, onde o papel é triturado em pedaços pixelizados.

Destruidor Windows : quando excluir um arquivo não é suficiente

Março 5, 2026

O File Shredder para Windows Malwarebytes você realmente exclua um arquivo ou pasta do seu disco rígido ou unidade USB.

Notícias
Grande Muralha da China

O Reino Unido realmente quer proibir as VPNs? E isso é possível?

Março 4, 2026

As notícias sobre um “Grande Firewall Britânico” são exageradas. E mesmo que quisessem, eis porque isso seria praticamente impossível.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes