Comment supprimer SHub des systèmes macOS infectés

De quel type de logiciel malveillant s'agit-il avec SHub ?

SHub est un programme de vol d'informations qui cible les utilisateurs de macOS. Il est capable d'extraire des données des navigateurs Web, des portefeuilles de cryptomonnaies et d'autres applications. Sa diffusion passe par l'utilisation d'un site Web frauduleux et de la technique ClickFix. S'il est détecté sur un appareil, SHub doit être supprimé dès que possible.

Présentation de SHub Stealer

Dans un premier temps, un chargeur s'exécute sur l'appareil de la victime. Il effectue une analyse du système avant de poursuivre. L'une de ces vérifications consiste à rechercher un clavier russe. S'il en détecte un, le logiciel malveillant s'arrête et en informe le pirate. Si la vérification est concluante, le chargeur transmet l'adresse IP, le nom d'hôte, la version de macOS et la langue du clavier aux cybercriminels.

De plus, un script se faisant passer pour une demande de mot de passe macOS classique est téléchargé. Si la victime saisit son mot de passe, le logiciel malveillant peut déverrouiller le trousseau, qui contient tous les mots de passe enregistrés, les identifiants Wi-Fi et les clés privées.

Une fois le mot de passe volé, SHub analyse le système macOS infecté à la recherche de diverses données. Il cible plus de 10 navigateurs basés sur Chromium, notamment Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi et Coccoc. Il cible également Firefox, en volant les mots de passe enregistrés, les cookies et les données de remplissage automatique de tous les profils.

De plus, SHub analyse toutes les extensions de navigateur installées. Il est capable de voler des informations provenant de plus d'une centaine de portefeuilles de cryptomonnaies connus, notamment Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom et Trust Wallet.

SHub cible également les applications de portefeuille cryptographique pour ordinateur de bureau. Il collecte des données provenant de portefeuilles tels que Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite, Wasabi et bien d'autres.

De plus, ce logiciel malveillant récupère des données provenant du Trousseau, des comptes iCloud, des cookies et de l'historique de navigation de Safari, des bases de données d'Apple Notes, ainsi que des fichiers de session Telegram. Il copie également les fichiers « .zsh_history », « .bash_history » et « .gitconfig », qui peuvent contenir des clés API ou des jetons d'authentification utilisés par les développeurs.

Autres fonctionnalités

SHub ne se contente pas de voler des données, mais modifie également certaines applications de portefeuille cryptographique afin de pouvoir continuer à voler des informations par la suite. S'il détecte des portefeuilles tels que Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ou Trezor Suite, il remplace le fichier principal de l'application (« app.asar ») par une version malveillante. Ce fichier s'exécute en arrière-plan et permet à l'application de continuer à fonctionner normalement.

Les applications modifiées transmettent ensuite des données sensibles aux cybercriminels, telles que les mots de passe de portefeuille, les phrases de récupération ou les expressions de récupération. Certaines versions peuvent afficher de faux écrans de récupération ou de mise à jour de sécurité afin d'inciter les utilisateurs à saisir leurs phrases de récupération.

De plus, SHub installe une porte dérobée afin de conserver l'accès à l'appareil infecté. Il crée une tâche d'arrière-plan nommée « com.google.keystone.agent.plist » pour se faire passer pour le service de mise à jour légitime de Google. À chaque exécution, cette tâche lance un script caché qui envoie l'identifiant matériel unique du Mac au serveur et vérifie s'il y a des commandes à exécuter.

Cela permet aux pirates de contrôler l'appareil à distance jusqu'à ce que la porte dérobée soit détectée et supprimée. Pour ne pas éveiller les soupçons, SHub affiche un faux message d'erreur indiquant que l'application n'est pas prise en charge, ce qui laisse croire à la victime que l'installation a échoué.

Conclusion

SHub est un logiciel malveillant sophistiqué pour macOS qui permet aux pirates d'accéder de manière silencieuse et durable au Mac de la victime et à des informations sensibles. Les victimes de ces attaques peuvent être confrontées à des problèmes tels que l'usurpation d'identité, la perte de cryptomonnaies, le piratage de comptes et d'autres conséquences néfastes. Il est donc important de faire preuve de prudence pour éviter toute infection.

Parmi les autres exemples de logiciels malveillants ciblant macOS, on peut citer Phexia, NovaStealer et MacSync.

Comment SHub a-t-il réussi à s'introduire dans mon appareil ?

Les cybercriminels utilisent un faux site web CleanMyMac pour faire croire aux utilisateurs qu'ils téléchargent l'application officielle. Au lieu de télécharger un programme d'installation classique, le site invite les visiteurs à ouvrir Terminal et à coller une commande dans le cadre de la « procédure d'installation ». La technique de diffusion utilisée dans ces attaques s'appelle ClickFix.

Lorsque l'utilisateur exécute la commande, celle-ci télécharge un script caché et l'exécute, ce qui permet à SHub de s'infiltrer dans le système.

Comment éviter les logiciels malveillants ?

Téléchargez toujours vos applications à partir de sources officielles ou de boutiques d'applications fiables, et évitez les logiciels piratés, les cracks ou les activateurs non officiels. Maintenez votre système d'exploitation et vos programmes à jour, et analysez régulièrement votre appareil à l'aide d'un logiciel de sécurité fiable. Méfiez-vous des e-mails, messages ou pièces jointes inattendus, et n'ouvrez des fichiers ou ne cliquez sur des liens que lorsque vous êtes certain qu'ils ne présentent aucun danger.

Ignorez les publicités, les fenêtres contextuelles et les liens suspects sur les sites peu fiables, et ne leur permettez jamais d'envoyer des notifications. Si votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement toutes les menaces.

Le site frauduleux (cleanmymacos[.]org) servait à diffuser le logiciel malveillant SHub Stealer (source : malwarebytes.com) :

Instructions ClickFix utilisées pour diffuser le logiciel malveillant SHub (source : malwarebytes.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que « SHub » ?
• Supprimez les fichiers et dossiers liés à SHub de macOS.

Vidéo expliquant comment supprimer les logiciels publicitaires et les pirates de navigateur d'un ordinateur Mac :

Suppression des applications potentiellement indésirables :

Supprimez les applications potentiellement indésirables de votre dossier « Applications » :

Cliquez sur l'icône du Finder. Dans la fenêtre du Finder, sélectionnez « Applications ». Dans le dossier Applications, recherchez « MPlayerX », « NicePlayer » ou d'autres applications suspectes, puis faites-les glisser vers la corbeille. Après avoir supprimé les applications potentiellement indésirables à l'origine des publicités en ligne, analysez votre Mac à la recherche de tout composant indésirable restant.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le malware SHub. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Cette étape supprimera SHub, mais effacera également toutes les données ; elle ne doit donc être utilisée qu'en dernier recours. Avant de procéder, il est recommandé d'effectuer une analyse complète à l'aide d'un logiciel de sécurité fiable, tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent permettre aux pirates d'accéder à distance à votre appareil, de voler des informations personnelles, d'installer d'autres programmes malveillants, de supprimer ou de chiffrer des fichiers, de provoquer des pannes du système, de ralentir votre appareil et de mener d'autres actions nuisibles.

Quel est l'objectif de SHub ?

SHub est un logiciel malveillant qui vole des mots de passe, des portefeuilles cryptographiques et d'autres données sensibles sur macOS. Il cible les navigateurs, le trousseau, les portefeuilles cryptographiques sur le bureau et dans les navigateurs, ainsi que des fichiers tels que les notes Apple ou les sessions Telegram. Son objectif principal est de collecter des informations.

Comment SHub a-t-il réussi à s'introduire dans mon appareil ?

Les pirates utilisent un faux site web de CleanMyMac qui invite les visiteurs à ouvrir le Terminal et à coller une commande pour « installer » le logiciel. Cette méthode de diffusion est connue sous le nom de ClickFix. Lorsque l'utilisateur exécute la commande, un script caché est téléchargé et exécuté à son insu, permettant ainsi à SHub d'infecter le Mac.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des logiciels malveillants connus. Cependant, les logiciels malveillants sophistiqués se cachent souvent profondément dans le système ; il est donc important d'effectuer une analyse complète du système.