Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер за Mac Крадец SHub

Крадец SHub

До Mezo през Зловреден софтуер за Mac, Крадциг
Превод на:

SHub е сложен зловреден софтуер за кражба на информация, предназначен специално за компрометиране на macOS системи. Основната му цел е да извлича чувствителна информация от браузъри, портфейли с криптовалута и различни системни компоненти. Заплахата е особено опасна, защото комбинира кражба на идентификационни данни, насочване към криптовалута и механизми за постоянен достъп в рамките на една кампания.

Зловредният софтуер обикновено се разпространява чрез измамни методи, които подвеждат потребителите да изпълняват злонамерени команди сами. След като се активира, SHub тихо събира ценни данни и може да поддържа дългосрочен достъп до заразеното устройство. Поради обхвата на информацията, която може да събере, тази заплаха представлява сериозни рискове, включително финансови загуби, кражба на самоличност и компрометиране на акаунти. Незабавното премахване е от съществено значение, ако SHub бъде открит в система.

Първоначална инфекция и проверка на системата

Процесът на заразяване започва с програма за зареждане, която се изпълнява на Mac компютъра на жертвата. Преди да разгърне пълния пакет злонамерен софтуер, този зареждащ софтуер извършва няколко проверки на системата. Една от най-забележителните проверки включва изследване на системата за наличие на руска подредба на клавиатурата. Ако бъде открита такава клавиатура, злонамереният софтуер прекратява изпълнението си и докладва тази информация обратно на нападателите.

Ако етапът на проверка е успешен, зареждащата програма събира и предава основни системни данни към инфраструктурата на атакуващите. Тези данни включват IP адреса на устройството, името на хоста, версията на macOS и настройките за език на клавиатурата. Тази информация помага на атакуващите да профилират заразената машина, преди да продължат с по-нататъшни действия.

След това зловредният софтуер изтегля скрипт, маскиран като легитимен подканващ формуляр за парола за macOS. Този фалшив подканващ формуляр изглежда рутинно изисква системната парола на потребителя. Ако жертвата въведе паролата, нападателите получават възможността да отключат ключодържателя на macOS, който съхранява високочувствителна информация, като запазени пароли, Wi-Fi идентификационни данни и частни ключове за криптиране.

Обширно събиране на данни от браузъри и портфейли

След като достъпът до системата е осигурен, SHub започва да сканира устройството за ценни данни, съхранявани в уеб браузъри и приложения за криптовалута. Зловредният софтуер е насочен към широк спектър от браузъри, базирани на Chromium, включително Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi и Coccoc. Той е насочен и към Firefox.

От тези браузъри зловредният софтуер извлича съхранени идентификационни данни, „бисквитки“, информация за автоматично попълване и други данни от профилите във всички потребителски профили. Зловредният софтуер също така проверява инсталираните разширения на браузъра в търсене на разширения за портфейли с криптовалута.

SHub е способен да краде информация от повече от сто известни портфейла с криптовалута. Примери за това са Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom и Trust Wallet. Чрез достъп до тези разширения, нападателите могат да получат токени за удостоверяване, данни за достъп до портфейли и други чувствителни данни, свързани с акаунти в криптовалута.

Насочване към настолни приложения за криптовалута

В допълнение към портфейлите, базирани на браузър, SHub се фокусира основно върху приложенията за портфейли с криптовалута за настолни компютри, инсталирани в системата. Зловредният софтуер събира данни от голям брой портфейли, включително Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite и Wasabi.

Чувствителните данни, извлечени от тези приложения, могат да включват идентификационни данни за портфейли, частни ключове и друга информация за удостоверяване. Тези данни могат да позволят на нападателите да получат директен контрол върху криптовалутите.

Освен софтуера за портфейли, SHub събира и други форми на чувствителна информация от средата на macOS. Той извлича данни от ключодържателя на macOS, информация за акаунта в iCloud, бисквитки и история на сърфиране в Safari, бази данни на Apple Notes и файлове на сесии в Telegram. Зловредният софтуер допълнително копира файловете .zsh_history, .bash_history и .gitconfig. Тези файлове са особено ценни, защото могат да съдържат API ключове, токени за удостоверяване или други идентификационни данни на разработчици, съхранени в историята на командите или настройките за конфигурация.

Манипулация на портфейли за продължаваща кражба на данни

SHub прави повече от просто събиране на съхранена информация. Той може също така да модифицира определени приложения за портфейли с криптовалута, за да поддържа непрекъсната кражба на данни дори след първоначалното компрометиране.

Ако зловредният софтуер открие портфейли като Atomic Wallet, Exodus, Ledger Live, Ledger Wallet или Trezor Suite, той замества ключов компонент на приложението, известен като „app.asar“, със злонамерена версия. Този модифициран файл работи безшумно във фонов режим, като същевременно позволява на приложението за портфейл да продължи да функционира нормално от гледна точка на потребителя.

Чрез тази модификация, компрометираните приложения за портфейли продължават да предават чувствителна информация на нападателите. Откраднатите данни могат да включват пароли за портфейли, seed фрази и фрази за възстановяване. Някои варианти на зловредния софтуер са способни да показват фалшиви подкани за възстановяване или съобщения за актуализации на сигурността, за да подведат потребителите да въведат директно своите seed фрази.

Възможности за постоянство и дистанционно управление

За да поддържа дългосрочен достъп до компрометираната система, SHub инсталира механизъм за задна вратичка, който позволява на атакуващите да комуникират със заразеното устройство. Злонамереният софтуер създава фонова задача с име „com.google.keystone.agent.plist“. Това име е избрано умишлено, за да наподобява легитимната услуга за актуализиране на Google, намалявайки вероятността от откриване.

Всеки път, когато тази фонова задача се изпълнява, тя стартира скрит скрипт, който изпраща уникалния хардуерен идентификатор на Mac до отдалечен сървър и проверява за инструкции от нападателите. Тази възможност позволява на злонамерените лица дистанционно да управляват устройството и да изпълняват допълнителни команди, когато е необходимо.

За да избегне предупреждаването на жертвата по време на инсталирането, зловредният софтуер показва подвеждащо съобщение за грешка, в което се казва, че приложението не се поддържа. Това съобщение кара потребителите да повярват, че процесът на инсталиране е неуспешен, въпреки че зловредният софтуер вече е бил успешно внедрен.

Разпространение чрез техниката ClickFix

Основният метод за разпространение на SHub разчита на социално инженерство и техника, известна като ClickFix. В тази кампания нападателите създават измамен уебсайт, който имитира легитимния сайт със софтуера CleanMyMac. Посетителите, които вярват, че изтеглят автентичното приложение, вместо това получават необичайни инструкции за инсталиране.

Вместо да получат нормален инсталационен файл, потребителите са инструктирани да отворят терминала на macOS и да поставят команда, за да завършат процеса на инсталиране. Когато тази команда бъде изпълнена, тя изтегля и изпълнява скрит скрипт, който инсталира зловредния софтуер SHub.

Последователността на атаката обикновено се развива по следния начин:

  • Жертвата посещава фалшив уебсайт, представящ се за страницата за изтегляне на CleanMyMac.
  • Сайтът инструктира потребителя да отвори Терминал и да постави предоставена команда като част от инсталацията.
  • Изпълнението на командата изтегля и изпълнява скрит скрипт, който инсталира SHub в системата.

Тъй като жертвата извършва тези стъпки ръчно, атаката може да заобиколи някои традиционни предупреждения за сигурност.

Рискове за сигурността и потенциални последици

SHub представлява сериозна заплаха за потребителите на macOS поради обширните си възможности за събиране на данни и функциите за дългосрочно запазване. След като бъде инсталиран, той може дискретно да събира чувствителна информация и да предоставя на атакуващите непрекъснат отдалечен достъп до компрометираното устройство.

Жертвите на този зловреден софтуер могат да се сблъскат с различни последици, включително:

  • Кражба на криптовалута от компрометирани приложения за портфейли
  • Кражба на самоличност в резултат на откраднати лични данни и идентификационни данни
  • Неоторизиран достъп до онлайн акаунти и услуги
  • Разкриване на тайни за разработчици, като например API ключове или токени за удостоверяване

Предвид мащаба на информацията, която SHub може да събира, предотвратяването на инфекции е от решаващо значение. Потребителите трябва да бъдат внимателни при изтегляне на софтуер, да избягват изпълнението на команди от ненадеждни източници и да проверяват дали уебсайтовете, предлагащи изтегляния, са легитимни. Ранното откриване и незабавното премахване на зловредния софтуер са от съществено значение за предотвратяване на по-нататъшно компрометиране на данните.

Тенденция

Най-гледан

Зареждане...