Egy kattintás és vége mindennek: hamis szoftver lopja el a Mac-es adatait és a kriptodat
Cikk meghallgatása
Az internet és a digitalizáció fejlődésével a tolvajok is szintet léptek, és a kibertérben jelentek meg azzal a céllal, hogy feltörjék a rendszereket, és konkrétan te magad nyiss ajtót a rosszindulatú betolakodóknak, akik az adataidra és a vagyonodra pályáznak. Ennek egyik legkifinomultabb módja, hogy olyan programokat telepítünk, melyek nem az eredeti célt szolgálják, hanem egy betolakodónak nyitnak ajtót.
Az Apple-felhasználók legfrissebb trükkje most egy hamis CleanMyMAc-weboldalra vezet, amely meggyőző designnal és haladó útmutatóval segíti az áldozatokat, azonban ez csak egy csapda. A Malwarebytes kutatói feltárták a részleteket, amelyek óriási figyelmeztetést jelentenek mindenkinek, aki szeretne biztonságban maradni a digitális világban.
A Mac-es felhasználók veszélyben vannak
A csalók egy cleanmymacos[.]org nevű oldalt hoztak létre, amely szinte tökéletesen utánzázza a népszerű CleanMyMac hivatalos oldalát, melynek lényege, hogy megtisztítja a gépet a felesleges programoktól és adatoktól, amelyek lassítják annak működését. A látogatót azonban nem hagyományos letöltésre, hanem egy „profi” verzióra viszik rá: nyisd meg a Terminalt, másolj be egy parancsot, és nyomj Entert. Ez a ClickFix nevű technika megkerüli a macOS védelmeit, mert a felhasználó önként futtatja le a kódot – nincs letöltési figyelmeztetés, nincs biztonsági párbeszédablak.
A parancs háttérben letölti a SHub Stealer kártevőt, amely azonnal munkához lát. Először egy hamis rendszerüzenetet mutat – „System Preferences needs your password to continue” –, hogy kicsalja a felhasználóólt a gép jelszavát. Ha sikerül, a Keychain feloldódik, és a malware begyűjti mindent: böngészőjelszavakat (Chrome, Firefox stb.), iCloud‑adatokat, Telegram‑munkameneteket, Apple Notes tartalmakat, sőt akár 100 ismert kriptotárca‑bővítményt és 23 asztali appot, mint az Exodus vagy Ledger Live. Az adatokat ZIP‑be csomagolja, feltölti a res2erch-sl0ut[.]com szerverre, majd kitakarít maga után.
Ezért különösen alattomos ez a támadás
A SHub nem áll meg az egyszeri fosztogatásnál. Ha kriptotárca‑appokat talál (Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite), csendben kicseréli azok kulcsfájljait egy backdooros verzióra. Ezután minden tárcafeloldáskor titokban elküldi a jelszót és a seed phrase-t a wallets-gate[.]io szerverre. Például az Exodusnál hálózati szűrőt megkerülve, a Ledger Live-nál hamis helyreállítási varázslattal csalja ki az adatokat. Ráadásul egy ál‑Google updater LaunchAgentet telepít, amely óránként kommunikál a támadókkal, akár új parancsokat is futtatva.
Ez a támadás nagyon hasonlít korábbi csalásokra, mint a MacSync Stealer vagy az Odyssey Stealer. Ezeknél is ugyanazzal a trükkel, a ClickFixszel csalták be az embereket hamis weboldalakról, például ál-GitHub vagy ál-Microsoft Teams oldalakról. Mindegyik megáll, ha orosz billentyűzetet észlel a gépen, hogy ne fussanak bele a saját országuk rendőrségébe, és kódokkal (például „PAds”) követik, honnan érkeznek az áldozatok. Képzeld el: rákeresel Google-ben „Mac tisztításra”, rákattintasz egy hirdetésre, bemásolsz egy parancsot a Terminálba – másnap eltűnik a kriptopénzed, pedig a valódi CleanMyMac ilyet sose kér.
„A kampány egy tágabb mintázat része: kutatók dokumentáltak már hasonló ClickFix támadásokat, amelyek hamis GitHub‑repozitóriumokat, Google Meet oldalakat, üzenetküldő platformokat és más szoftvereket utánoztak, hogy rávegyék a felhasználókat a parancsok bemásolására a Terminálba.”
– áll a Malwarebytes Labs közleményében
Így védd meg magad hatékonyan
A védekezés egyszerű, de szigorú szabályokon múlik. Sose másolj be ismeretlen parancsot Terminalba – ez óriási figyelmeztetés! Tölts le appokat kizárólag az App Store‑ból vagy a fejlesztő hivatalos oldaláról (pl. macpaw.com/cleanmymac).
Ha gyanús vagy, ellenőrizd a /Library/LaunchAgents/ mappát a com.google.keystone.agent.plist fájlra, és töröld, ha ott van; futtass Malwarebytes for Mac‑et a maradékok eltávolítására. Kriptotárcáknál: érintett appoknál azonnal cseréld a seed phrase‑t új tárcára, változtass jelszavakat, és aktiválj kétlépcsős védelmet.
Ez a támadás mutatja, hogy a macOS már nem halhatatlan – a csalók profibb eszközökkel dolgoznak, mint valaha. A kulcs a tudatosság: kérdezd meg magadtól, „ez tényleg szükséges?”, mielőtt kattintasz. Így nem válsz áldozattá a következő ClickFix csapdában.