عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج ضارة لنظام Mac SHub Stealer

SHub Stealer

بواسطة Mezo في برامج ضارة لنظام Mac, سارقون
ترجمة الى:

SHub هو برنامج خبيث متطور لسرقة المعلومات، مصمم خصيصًا لاختراق أنظمة macOS. هدفه الرئيسي هو استخراج المعلومات الحساسة من المتصفحات، ومحافظ العملات الرقمية، ومكونات النظام المختلفة. يكمن خطر هذا التهديد في جمعه بين سرقة بيانات الاعتماد، واستهداف العملات الرقمية، وآليات الوصول المستمر ضمن حملة واحدة.

ينتشر هذا البرنامج الخبيث عادةً عبر أساليب خادعة تخدع المستخدمين لحملهم على تنفيذ أوامر ضارة بأنفسهم. بمجرد تفعيله، يقوم برنامج SHub بجمع بيانات قيّمة خلسةً، ويستطيع الحفاظ على وصول طويل الأمد إلى الجهاز المصاب. ونظرًا لكمية المعلومات الهائلة التي يستطيع جمعها، يُشكّل هذا التهديد مخاطر جسيمة، تشمل الخسائر المالية، وسرقة الهوية، واختراق الحسابات. لذا، يُعدّ إزالته فورًا أمرًا بالغ الأهمية عند اكتشافه على النظام.

العدوى الأولية والتحقق من النظام

تبدأ عملية الإصابة ببرنامج تحميل يُنفَّذ على جهاز ماك الخاص بالضحية. قبل نشر حمولة البرمجية الخبيثة كاملةً، يُجري هذا البرنامج عدة فحوصات على النظام. من أبرز هذه الفحوصات التحقق من وجود لوحة مفاتيح روسية. في حال اكتشافها، تتوقف البرمجية الخبيثة عن العمل وتُبلغ المهاجمين بهذه المعلومة.

في حال نجاح مرحلة التحقق، يقوم برنامج التحميل بجمع بيانات النظام الأساسية وإرسالها إلى بنية المهاجمين التحتية. تشمل هذه البيانات عنوان IP للجهاز، واسم المضيف، وإصدار نظام macOS، وإعدادات لغة لوحة المفاتيح. تساعد هذه المعلومات المهاجمين على تحليل خصائص الجهاز المصاب قبل اتخاذ أي إجراءات أخرى.

بعد ذلك، يقوم البرنامج الخبيث بتنزيل نص برمجي مُتنكر في هيئة نافذة طلب كلمة مرور نظام macOS. تظهر هذه النافذة المزيفة وكأنها تطلب كلمة مرور النظام بشكل روتيني. إذا أدخل الضحية كلمة المرور، يتمكن المهاجمون من فتح سلسلة مفاتيح macOS، التي تحتوي على معلومات بالغة الحساسية مثل كلمات المرور المحفوظة، وبيانات اعتماد شبكة Wi-Fi، ومفاتيح التشفير الخاصة.

جمع بيانات مكثف من المتصفحات والمحافظ

بمجرد تأمين الوصول إلى النظام، يبدأ برنامج SHub الخبيث بفحص الجهاز بحثًا عن بيانات قيّمة مخزّنة في متصفحات الويب وتطبيقات العملات الرقمية. يستهدف هذا البرنامج مجموعة واسعة من المتصفحات المبنية على Chromium، بما في ذلك Arc وBrave وChrome وChrome Beta وChrome Canary وChrome DevTools وChromium وEdge وOpera وOpera GX وOrion وSidekick وVivaldi وCoccoc. كما يستهدف أيضًا متصفح Firefox.

يستخرج البرنامج الخبيث من هذه المتصفحات بيانات الاعتماد المخزنة، وملفات تعريف الارتباط، ومعلومات التعبئة التلقائية، وغيرها من بيانات الملف الشخصي لجميع المستخدمين. كما يفحص البرنامج الخبيث إضافات المتصفح المثبتة بحثًا عن إضافات محافظ العملات الرقمية.

يستطيع برنامج SHub الخبيث سرقة المعلومات من أكثر من مئة محفظة عملات رقمية معروفة، منها على سبيل المثال محفظة Coinbase، وExodus Web3، وKeplr، وMetaMask، وPhantom، وTrust Wallet. ومن خلال الوصول إلى هذه المحافظ، يستطيع المهاجمون الحصول على رموز المصادقة، وبيانات الوصول إلى المحفظة، وغيرها من التفاصيل الحساسة المرتبطة بحسابات العملات الرقمية.

استهداف تطبيقات العملات المشفرة على أجهزة الكمبيوتر المكتبية

بالإضافة إلى محافظ العملات الرقمية عبر المتصفح، يركز برنامج SHub الخبيث بشكل كبير على تطبيقات محافظ العملات الرقمية المثبتة على أجهزة الكمبيوتر. ويقوم هذا البرنامج بجمع البيانات من عدد كبير من المحافظ، بما في ذلك Atomic Wallet وBinance وBitcoin Core وBlueWallet وCoinomi وDogecoin Core وElectrum وExodus وGuarda وLedger Live وLedger Wallet وLitecoin Core وMonero وSparrow وTON Keeper وTrezor Suite وWasabi.

قد تتضمن البيانات الحساسة المستخرجة من هذه التطبيقات بيانات اعتماد المحفظة، والمفاتيح الخاصة، ومعلومات المصادقة الأخرى. ويمكن لهذه البيانات أن تمكّن المهاجمين من السيطرة المباشرة على حيازات العملات المشفرة.

إلى جانب برامج المحافظ الإلكترونية، يجمع برنامج SHub أيضًا أنواعًا أخرى من المعلومات الحساسة من بيئة macOS. فهو يسترجع البيانات من سلسلة مفاتيح macOS، ومعلومات حساب iCloud، وملفات تعريف الارتباط وسجل التصفح في Safari، وقواعد بيانات Apple Notes، وملفات جلسات Telegram. كما يقوم البرنامج الخبيث بنسخ الملفات .zsh_history و .bash_history و .gitconfig. وتكتسب هذه الملفات أهمية خاصة لاحتوائها على مفاتيح API، ورموز المصادقة، أو بيانات اعتماد مطورين أخرى مخزنة في سجلات الأوامر أو إعدادات التكوين.

التلاعب بالمحافظ الإلكترونية لسرقة البيانات بشكل مستمر

لا يقتصر دور SHub على جمع المعلومات المخزنة فحسب، بل يمكنه أيضاً تعديل بعض تطبيقات محافظ العملات المشفرة لضمان استمرار سرقة البيانات حتى بعد الاختراق الأولي.

إذا اكتشف البرنامج الخبيث محافظ مثل Atomic Wallet أو Exodus أو Ledger Live أو Ledger Wallet أو Trezor Suite، فإنه يستبدل مكونًا رئيسيًا للتطبيق يُعرف باسم 'app.asar' بنسخة خبيثة. يعمل هذا الملف المُعدَّل في الخلفية دون علم المستخدم، بينما يستمر تطبيق المحفظة في العمل بشكل طبيعي.

من خلال هذا التعديل، تستمر تطبيقات المحفظة المخترقة في إرسال معلومات حساسة إلى المهاجمين. قد تشمل البيانات المسروقة كلمات مرور المحفظة، وعبارات الاسترداد، وعبارات الأمان. بعض أنواع البرامج الضارة قادرة على عرض رسائل استرداد وهمية أو رسائل تحديثات أمنية لخداع المستخدمين وحملهم على إدخال عبارات الاسترداد الخاصة بهم مباشرةً.

القدرة على الاستمرار والتحكم عن بعد

للحفاظ على الوصول طويل الأمد إلى النظام المخترق، يقوم برنامج SHub بتثبيت آلية باب خلفي تُمكّن المهاجمين من التواصل مع الجهاز المصاب. يُنشئ البرنامج الخبيث مهمة في الخلفية باسم 'com.google.keystone.agent.plist'. تم اختيار هذا الاسم عمدًا ليُشابه خدمة تحديثات جوجل الرسمية، مما يُقلل من احتمالية اكتشافه.

عند تشغيل هذه المهمة في الخلفية، يتم تشغيل برنامج نصي مخفي يرسل مُعرّف الجهاز الفريد إلى خادم بعيد، ويتحقق من وجود تعليمات من المهاجمين. تُمكّن هذه الخاصية الجهات الخبيثة من التحكم بالجهاز عن بُعد وتنفيذ أوامر إضافية عند الحاجة.

لتجنب تنبيه الضحية أثناء التثبيت، يعرض البرنامج الخبيث رسالة خطأ مضللة تفيد بأن التطبيق غير مدعوم. تدفع هذه الرسالة المستخدمين إلى الاعتقاد بأن عملية التثبيت قد فشلت، على الرغم من أن البرنامج الخبيث قد تم تثبيته بنجاح.

التوزيع من خلال تقنية ClickFix

تعتمد طريقة التوزيع الرئيسية لبرنامج SHub الخبيث على الهندسة الاجتماعية وتقنية تُعرف باسم ClickFix. في هذه الحملة، يُنشئ المهاجمون موقعًا إلكترونيًا مزيفًا يُحاكي موقع برنامج CleanMyMac الأصلي. يُفاجأ الزوار الذين يعتقدون أنهم يُنزّلون التطبيق الأصلي بتعليمات تثبيت غير مألوفة.

بدلاً من استلام ملف تثبيت عادي، يُطلب من المستخدمين فتح تطبيق Terminal في نظام macOS ولصق أمر لإتمام عملية التثبيت. عند تنفيذ هذا الأمر، يتم تنزيل وتشغيل برنامج نصي مخفي يقوم بتثبيت برمجية SHub الخبيثة.

عادةً ما تتكشف سلسلة الهجوم بالطريقة التالية:

  • يقوم الضحية بزيارة موقع ويب مزيف ينتحل صفة صفحة تنزيل CleanMyMac.
  • يوجه الموقع المستخدم إلى فتح تطبيق Terminal ولصق أمر معين كجزء من عملية التثبيت.
  • يؤدي تنفيذ الأمر إلى تنزيل وتشغيل برنامج نصي مخفي يقوم بتثبيت SHub على النظام.

لأن الضحية يقوم بهذه الخطوات يدوياً، يمكن للهجوم أن يتجاوز بعض التحذيرات الأمنية التقليدية.

المخاطر الأمنية والعواقب المحتملة

يمثل برنامج SHub تهديدًا خطيرًا لمستخدمي نظام macOS نظرًا لقدراته الواسعة على جمع البيانات وميزاته التي تتيح الاحتفاظ بالبيانات لفترات طويلة. فبمجرد تثبيته، يستطيع البرنامج جمع المعلومات الحساسة خلسةً، ومنح المهاجمين إمكانية الوصول عن بُعد بشكل مستمر إلى الجهاز المخترق.

قد يواجه ضحايا هذا البرنامج الخبيث مجموعة متنوعة من العواقب، بما في ذلك:

  • سرقة العملات المشفرة من تطبيقات المحافظ المخترقة
  • سرقة الهوية الناتجة عن سرقة البيانات الشخصية وبيانات الاعتماد
  • الوصول غير المصرح به إلى الحسابات والخدمات عبر الإنترنت
  • كشف أسرار المطورين مثل مفاتيح واجهة برمجة التطبيقات أو رموز المصادقة

نظراً لحجم المعلومات الهائل الذي يمكن لبرنامج SHub جمعه، يُعدّ منع الإصابة به أمراً بالغ الأهمية. لذا، ينبغي على المستخدمين توخي الحذر عند تنزيل البرامج، وتجنب تنفيذ الأوامر من مصادر غير موثوقة، والتأكد من شرعية المواقع الإلكترونية التي تُقدّم التنزيلات. ويُعدّ الكشف المبكر عن البرامج الضارة وإزالتها فوراً أمراً ضرورياً لمنع المزيد من اختراق البيانات.

الشائع

الأكثر مشاهدة

جار التحميل...