CEVIU Logo
Voltar

Site Falso do CleanMyMac Espalha SHub Stealer com Truque ClickFix no Terminal

Aprofundamento CEVIU

Aprofundamento

O SHub Stealer não é só mais um stealer para macOS: ele representa uma escalada tática em ataques que ignoram por completo as camadas de proteção nativas da Apple. Ao usar o ClickFix via Terminal, e agora, com a variante Reaper, via applescript:// que aciona o Editor de Script com um clique, o malware contorna Gatekeeper, XProtect, notificações de execução e até verificações de assinatura de código. Isso não é falha técnica da Apple, mas exploração direta do comportamento humano: usuários confiam em comandos copiados de sites 'oficiais' e clicam em botões que parecem inócuos. O fato de o SHub se autodestruir ao detectar teclado russo não é um detalhe curioso, mas evidência operacional clara: é um artefato de desenvolvimento feito por atores com histórico em campanhas contra alvos ocidentais, como o Sofacy, que já atacou sistemas macOS desde 2017.

A persistência por LaunchAgent disfarçado de atualizador do Google (com.google.keystone.agent.plist) é particularmente perigosa porque passa despercebida em auditorias superficiais, muitos administradores de TI reconhecem o nome 'Google Keystone' como legítimo e não verificam o caminho real do arquivo. E o roubo vai além de senhas: o SHub extrai seed-phrases diretamente das interfaces gráficas das carteiras, usando prompts falsos de autenticação do sistema que imitam com precisão o diálogo do Keychain. Isso significa que, mesmo com Touch ID ou senha forte, o usuário está entregando sua chave mestra com um único clique ou colagem.

Por que isso importa

Empresas que adotam macOS em ambientes de desenvolvimento, finanças ou segurança estão expostas a um risco sistêmico: o SHub Stealer não exige privilégios elevados para funcionar, opera sem detecção em tempo real por muitos EDRs e pode comprometer toda a cadeia de assinatura de código interna, especialmente se desenvolvedores usarem chaves de API roubadas para publicar pacotes maliciosos em repositórios corporativos. Para governos e instituições regulatórias, esse tipo de ameaça testa os limites da Lei Geral de Proteção de Dados (LGPD), já que o malware coleta dados pessoais, financeiros e criptográficos sem consentimento, com capacidade de exportação em massa para servidores controlados fora do Brasil.

Perguntas frequentes

Como identificar se meu Mac foi infectado pelo SHub Stealer?

Verifique a pasta ~/Library/LaunchAgents/ por arquivos chamados com.google.keystone.agent.plist ou nomes semelhantes. Também busque processos suspeitos com nomes genéricos como 'updater', 'helper' ou 'agent' no Activity Monitor. Se seu Keychain pediu autenticação fora de contexto, por exemplo, ao abrir uma carteira de cripto, e você não lembra de autorizar nada, há alta probabilidade de ter sido enganado por um prompt falso.

Por que o comando no Terminal contorna o Gatekeeper?

O Gatekeeper valida apenas binários baixados da internet antes de executá-los. Comandos colados no Terminal são interpretados pelo shell (zsh ou bash), não como binários, mas como instruções de linha de comando. Assim, o malware é baixado e executado dinamicamente, sem jamais passar pela verificação de assinatura ou notificação de origem desconhecida.

O SHub Stealer afeta apenas usuários de criptomoedas?

Não. Embora tenha foco em carteiras, ele rouba senhas de navegadores, cookies, tokens de sessão, documentos pessoais e chaves de API. Qualquer profissional que use Chrome, Firefox ou Brave com logins salvos, especialmente em ambientes corporativos com acesso a APIs ou painéis administrativos, está em risco imediato.

Existe detecção confiável por antivírus comerciais?

A maioria dos EDRs tradicionais ainda falha na detecção do SHub em tempo real, pois ele não usa payloads estáticos conhecidos e evita técnicas de ofuscação óbvias. Ferramentas baseadas em comportamento, como a nova geração de EDRs com análise de LaunchAgent anômalo e monitoramento de acessos ao Keychain, têm maior taxa de captura, mas só se configuradas para alertar em tempo real sobre esses eventos específicos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
11 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser