Un faux site imitant le célèbre utilitaire CleanMyMac circule actuellement en ligne et pousse les internautes à exécuter une commande dans Terminal. Derrière cette manipulation se cache SHub Stealer, un malware macOS capable de voler mots de passe, données de navigateurs et portefeuilles crypto.

Attention à ce faux CleanMyMac qui cible mots de passe et portefeuilles crypto sur macOS. © janews / Shutterstock
Attention à ce faux CleanMyMac qui cible mots de passe et portefeuilles crypto sur macOS. © janews / Shutterstock

Les chercheurs et chercheuses de Malwarebytes viennent de documenter l’existence d’un site se faisant passer pour la page officielle de CleanMyMac. L’interface semble crédible et propose ce qui ressemble à une méthode d’installation alternative, censée permettre de lancer le logiciel manuellement. En réalité, cette procédure sert à distribuer SHub Stealer, un infostealer conçu pour siphonner identifiants, phrases de récupération de portefeuilles crypto et autres données sensibles présentes sur les machines compromises.

Une fausse méthode d’installation avancée pour piéger les internautes

D’après Malwarebytes, le site frauduleux, hébergé sous le domaine cleanmymacos[.]org, reprend l’apparence de la page officielle de l’outil développé par MacPaw et invite les internautes à suivre une méthode d’installation présentée comme avancée, consistant à ouvrir le Terminal et à y coller une commande censée lancer le logiciel.

En réalité, cette commande affiche d’abord une ligne destinée à rassurer l’utilisateur, décode une adresse masquée en base64, puis télécharge un script depuis un serveur distant avant de l’exécuter immédiatement sur le Mac. Ce premier programme agit comme un loader et s’interrompt si un clavier russe est détecté dans la configuration du système, une précaution souvent observée dans des campagnes menées par des groupes cybercriminels qui évitent généralement d’infecter des machines situées dans les pays de la CEI.

Si la machine passe ce premier contrôle, le loader envoie aussi plusieurs informations au serveur des attaquants, dont l’adresse IP externe, le nom d’hôte, la version de macOS et la locale du clavier, avant de récupérer la charge principale, un AppleScript constituant le cœur de SHub Stealer. Celui-ci affiche une fausse fenêtre imitant une demande système afin d’inciter la victime à saisir son mot de passe macOS, après quoi le malware peut accéder au trousseau du système et aux informations qui y sont stockées.

SHub Stealer parcourt ensuite le Mac dans le but de collecter différentes données. Le programme cible notamment plusieurs navigateurs basés sur Chromium ainsi que Firefox pour récupérer mots de passe enregistrés, cookies et données d’autocomplétion, et analyse les extensions installées pour repérer l’usage de portefeuilles crypto populaires. Il collecte aussi des données issues du Keychain, de Safari, d’iCloud, de Telegram, d’Apple Notes ou encore de l’historique shell.

En parallèle, SHub Stealer s’intéresse aussi à certaines applications de portefeuilles crypto installées sur le Mac, comme Exodus, Atomic Wallet, Ledger Wallet, Ledger Live ou Trezor Suite. Dans ces applications Electron, le malware remplace le fichier app.asar, qui contient la logique principale du logiciel, afin d’y injecter du code capable de transmettre aux attaquants les informations saisies lors du déverrouillage du portefeuille, y compris la phrase de récupération.

Enfin, pour conserver un accès durable à la machine, le malware installe également un agent exécuté automatiquement à chaque ouverture de session sous un nom imitant le service de mise à jour de Google Chrome, afin de se fondre plus facilement parmi les processus légitimes du système.

Les cybercriminels usurpent la page officielle de CleanMyMac et font croire aux victimes qu'il existe une méthode d'installation alternative pour mieux distribuer leur infostealer. © Malwarebytes
Les cybercriminels usurpent la page officielle de CleanMyMac et font croire aux victimes qu'il existe une méthode d'installation alternative pour mieux distribuer leur infostealer. © Malwarebytes

Comment éviter ce piège et que faire en cas de doute

Comme d’habitude avec les attaques ClickFix, cette campagne repose avant tout sur une manipulation de l’utilisateur ou de l’utilisatrice. Gardez en tête que la grande majorité des applications grand public ne demandent jamais de copier une commande dans le Terminal pour être installées. Si tel est le cas, mieux vaut abandonner la procédure plutôt que de suivre des instructions douteuses, vérifier que l’URL correspond bien au site officiel de l’éditeur et, lorsque c’est possible, privilégier un téléchargement via l’App Store.

Si vous pensez avoir exécuté la commande proposée sur le faux site CleanMyMac, vérifiez le contenu du dossier ~/Library/LaunchAgents/ dans votre bibliothèque utilisateur. La présence d’un fichier nommé com.google.keystone.agent.plist peut signaler l’installation du mécanisme de persistance décrit dans cette campagne. Vérifiez également le dossier ~/Library/Application Support/Google/ et supprimez tout répertoire GoogleUpdate.app que vous n’auriez pas installé vous-même.

Par précaution, considérez que les identifiants stockés sur la machine peuvent avoir été exposés. Changez vos mots de passe depuis un appareil sûr et, si vous utilisez un portefeuille crypto concerné par cette attaque, transférez vos fonds vers un nouveau portefeuille créé sur un appareil sain. Une phrase de récupération exposée ne peut pas être modifiée et doit être considérée comme compromise.

Source : Malwarebytes

CleanMyMac

9 / 10
Lire le test
Voir l'offre
  • Abordable pour les néophytes
  • Nettoyage cohérent et non destructeur
  • Centralise certaines fonctions de macOS
  • Le module antimalware devra faire ses preuves
  • Abordable pour les néophytes
  • Nettoyage cohérent et non destructeur
  • Centralise certaines fonctions de macOS
  • Le module antimalware devra faire ses preuves
Voir l'offre
À découvrir
Meilleur antivirus pour Mac, le comparatif 2026
01 mars 2026 à 09h10
Comparatifs services