SHub Stealer সম্পর্কে

SHub হল একটি অত্যাধুনিক তথ্য চুরিকারী ম্যালওয়্যার যা বিশেষভাবে macOS সিস্টেমের সাথে আপস করার জন্য তৈরি করা হয়েছে। এর প্রাথমিক লক্ষ্য হল ব্রাউজার, ক্রিপ্টোকারেন্সি ওয়ালেট এবং বিভিন্ন সিস্টেম উপাদান থেকে সংবেদনশীল তথ্য আহরণ করা। এই হুমকিটি বিশেষভাবে বিপজ্জনক কারণ এটি একটি একক প্রচারণার মধ্যে শংসাপত্র চুরি, ক্রিপ্টোকারেন্সি লক্ষ্যবস্তু এবং ক্রমাগত অ্যাক্সেস প্রক্রিয়াগুলিকে একত্রিত করে।

এই ম্যালওয়্যারটি সাধারণত প্রতারণামূলক পদ্ধতির মাধ্যমে ছড়িয়ে পড়ে যা ব্যবহারকারীদের নিজেদের ক্ষতিকারক কমান্ড কার্যকর করতে বাধ্য করে। একবার সক্রিয় হয়ে গেলে, SHub নীরবে মূল্যবান তথ্য সংগ্রহ করে এবং সংক্রামিত ডিভাইসে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখতে পারে। এটি যে পরিমাণ তথ্য সংগ্রহ করতে পারে তার কারণে, এই হুমকি গুরুতর ঝুঁকি তৈরি করে, যার মধ্যে রয়েছে আর্থিক ক্ষতি, পরিচয় চুরি এবং অ্যাকাউন্টের ক্ষতি। যদি কোনও সিস্টেমে SHub পাওয়া যায় তবে তাৎক্ষণিকভাবে অপসারণ করা অপরিহার্য।

প্রাথমিক সংক্রমণ এবং সিস্টেম যাচাইকরণ

সংক্রমণ প্রক্রিয়াটি একটি লোডার দিয়ে শুরু হয় যা আক্রান্ত ব্যক্তির ম্যাকে কার্যকর হয়। সম্পূর্ণ ম্যালওয়্যার পেলোড স্থাপন করার আগে, এই লোডারটি সিস্টেমে বেশ কয়েকটি পরীক্ষা করে। সবচেয়ে উল্লেখযোগ্য পরীক্ষাগুলির মধ্যে একটি হল রাশিয়ান কীবোর্ড লেআউটের উপস্থিতির জন্য সিস্টেমটি পরীক্ষা করা। যদি এই জাতীয় কীবোর্ড সনাক্ত করা হয়, তাহলে ম্যালওয়্যারটি তার কার্যকরকরণ বন্ধ করে দেয় এবং আক্রমণকারীদের কাছে এই তথ্যটি ফেরত পাঠায়।

যদি যাচাইকরণের পর্যায়টি সফল হয়, তাহলে লোডারটি আক্রমণকারীদের অবকাঠামোতে মৌলিক সিস্টেমের বিবরণ সংগ্রহ করে প্রেরণ করে। এই বিবরণগুলির মধ্যে রয়েছে ডিভাইসের আইপি ঠিকানা, হোস্টনেম, ম্যাকোস সংস্করণ এবং কীবোর্ড ভাষা সেটিংস। এই তথ্য আক্রমণকারীদের পরবর্তী পদক্ষেপ নেওয়ার আগে সংক্রামিত মেশিনের প্রোফাইল তৈরি করতে সহায়তা করে।

এরপর, ম্যালওয়্যারটি একটি বৈধ macOS পাসওয়ার্ড প্রম্পটের ছদ্মবেশে একটি স্ক্রিপ্ট ডাউনলোড করে। এই জাল প্রম্পটটি নিয়মিতভাবে ব্যবহারকারীর সিস্টেম পাসওয়ার্ডের জন্য অনুরোধ করে বলে মনে হয়। যদি ভুক্তভোগী পাসওয়ার্ডটি প্রবেশ করান, তাহলে আক্রমণকারীরা macOS Keychain আনলক করার ক্ষমতা অর্জন করে, যা সংরক্ষিত পাসওয়ার্ড, Wi-Fi শংসাপত্র এবং ব্যক্তিগত এনক্রিপশন কীগুলির মতো অত্যন্ত সংবেদনশীল তথ্য সংরক্ষণ করে।

ব্রাউজার এবং ওয়ালেট থেকে ব্যাপক তথ্য সংগ্রহ

সিস্টেমে অ্যাক্সেস সুরক্ষিত হয়ে গেলে, SHub ওয়েব ব্রাউজার এবং ক্রিপ্টোকারেন্সি অ্যাপ্লিকেশনগুলিতে সংরক্ষিত মূল্যবান ডেটার জন্য ডিভাইসটি স্ক্যান করা শুরু করে। ম্যালওয়্যারটি ক্রোমিয়াম-ভিত্তিক বিস্তৃত ব্রাউজারগুলিকে লক্ষ্য করে, যার মধ্যে রয়েছে Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi এবং Coccoc। এটি Firefoxকেও লক্ষ্য করে।

এই ব্রাউজারগুলি থেকে, ম্যালওয়্যারটি সমস্ত ব্যবহারকারীর প্রোফাইল জুড়ে সঞ্চিত শংসাপত্র, কুকিজ, অটোফিল তথ্য এবং অন্যান্য প্রোফাইল ডেটা বের করে। ম্যালওয়্যারটি ক্রিপ্টোকারেন্সি ওয়ালেট এক্সটেনশনের সন্ধানে ইনস্টল করা ব্রাউজার এক্সটেনশনগুলিও পরিদর্শন করে।

SHub একশোটিরও বেশি পরিচিত ক্রিপ্টোকারেন্সি ওয়ালেট থেকে তথ্য চুরি করতে সক্ষম। উদাহরণগুলির মধ্যে রয়েছে Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom, এবং Trust Wallet। এই এক্সটেনশনগুলি অ্যাক্সেস করে, আক্রমণকারীরা প্রমাণীকরণ টোকেন, ওয়ালেট অ্যাক্সেস ডেটা এবং ক্রিপ্টোকারেন্সি অ্যাকাউন্টের সাথে সম্পর্কিত অন্যান্য সংবেদনশীল বিবরণ পেতে পারে।

ডেস্কটপ ক্রিপ্টোকারেন্সি অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে তৈরি করা

ব্রাউজার-ভিত্তিক ওয়ালেট ছাড়াও, SHub সিস্টেমে ইনস্টল করা ডেস্কটপ ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাপ্লিকেশনগুলিতে খুব বেশি মনোযোগ দেয়। ম্যালওয়্যারটি অ্যাটমিক ওয়ালেট, বিন্যান্স, বিটকয়েন কোর, ব্লুওয়ালেট, কোইনোমি, ডোগেকয়েন কোর, ইলেকট্রাম, এক্সোডাস, গার্ডা, লেজার লাইভ, লেজার ওয়ালেট, লাইটকয়েন কোর, মনেরো, স্প্যারো, টন কিপার, ট্রেজার স্যুট এবং ওয়াসাবি সহ বিপুল সংখ্যক ওয়ালেট থেকে ডেটা সংগ্রহ করে।

এই অ্যাপ্লিকেশনগুলি থেকে সংগৃহীত সংবেদনশীল তথ্যের মধ্যে ওয়ালেট শংসাপত্র, ব্যক্তিগত কী এবং অন্যান্য প্রমাণীকরণ তথ্য অন্তর্ভুক্ত থাকতে পারে। এই তথ্য আক্রমণকারীদের ক্রিপ্টোকারেন্সি হোল্ডিংগুলির উপর সরাসরি নিয়ন্ত্রণ অর্জন করতে সক্ষম করতে পারে।

ওয়ালেট সফটওয়্যারের বাইরে, SHub ম্যাকওএস পরিবেশ থেকে অন্যান্য ধরণের সংবেদনশীল তথ্যও সংগ্রহ করে। এটি ম্যাকওএস কীচেইন, আইক্লাউড অ্যাকাউন্ট তথ্য, সাফারি কুকিজ এবং ব্রাউজিং ইতিহাস, অ্যাপল নোটস ডাটাবেস এবং টেলিগ্রাম সেশন ফাইল থেকে ডেটা পুনরুদ্ধার করে। ম্যালওয়্যারটি অতিরিক্তভাবে .zsh_history, .bash_history এবং .gitconfig ফাইলগুলি অনুলিপি করে। এই ফাইলগুলি বিশেষভাবে মূল্যবান কারণ এগুলিতে API কী, প্রমাণীকরণ টোকেন, অথবা কমান্ড ইতিহাস বা কনফিগারেশন সেটিংসে সংরক্ষিত অন্যান্য বিকাশকারী শংসাপত্র থাকতে পারে।

চলমান তথ্য চুরির জন্য ওয়ালেট কারসাজি

SHub কেবল সঞ্চিত তথ্য সংগ্রহের চেয়েও বেশি কিছু করে। এটি প্রাথমিক আপোসের পরেও ক্রমাগত ডেটা চুরি বজায় রাখার জন্য নির্দিষ্ট ক্রিপ্টোকারেন্সি ওয়ালেট অ্যাপ্লিকেশনগুলিকেও পরিবর্তন করতে পারে।

যদি ম্যালওয়্যারটি অ্যাটমিক ওয়ালেট, এক্সোডাস, লেজার লাইভ, লেজার ওয়ালেট, অথবা ট্রেজার স্যুটের মতো ওয়ালেট সনাক্ত করে, তাহলে এটি 'app.asar' নামে পরিচিত একটি মূল অ্যাপ্লিকেশন উপাদানকে একটি ক্ষতিকারক সংস্করণ দিয়ে প্রতিস্থাপন করে। এই পরিবর্তিত ফাইলটি ব্যাকগ্রাউন্ডে নীরবে কাজ করে এবং ব্যবহারকারীর দৃষ্টিকোণ থেকে ওয়ালেট অ্যাপ্লিকেশনটিকে স্বাভাবিকভাবে কাজ চালিয়ে যেতে দেয়।

এই পরিবর্তনের মাধ্যমে, হ্যাক করা ওয়ালেট অ্যাপ্লিকেশনগুলি আক্রমণকারীদের কাছে সংবেদনশীল তথ্য প্রেরণ করে চলেছে। চুরি হওয়া ডেটাতে ওয়ালেট পাসওয়ার্ড, সিড বাক্যাংশ এবং পুনরুদ্ধার বাক্যাংশ অন্তর্ভুক্ত থাকতে পারে। ম্যালওয়্যারের কিছু রূপ ভুয়া পুনরুদ্ধার প্রম্পট বা সুরক্ষা আপডেট বার্তা প্রদর্শন করতে সক্ষম যাতে ব্যবহারকারীদের সরাসরি তাদের সিড বাক্যাংশ প্রবেশ করতে প্রতারণা করা যায়।

অধ্যবসায় এবং রিমোট কন্ট্রোল ক্ষমতা

ক্ষতিগ্রস্ত সিস্টেমে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখার জন্য, SHub একটি ব্যাকডোর মেকানিজম ইনস্টল করে যা আক্রমণকারীদের সংক্রামিত ডিভাইসের সাথে যোগাযোগ করতে সক্ষম করে। ম্যালওয়্যারটি 'com.google.keystone.agent.plist' নামে একটি ব্যাকগ্রাউন্ড টাস্ক তৈরি করে। এই নামটি ইচ্ছাকৃতভাবে গুগলের বৈধ আপডেট পরিষেবার সাথে সাদৃশ্যপূর্ণ করার জন্য বেছে নেওয়া হয়েছে, যা সনাক্তকরণের সম্ভাবনা হ্রাস করে।

যখনই এই ব্যাকগ্রাউন্ড টাস্কটি চলে, তখন এটি একটি লুকানো স্ক্রিপ্ট চালু করে যা ম্যাকের অনন্য হার্ডওয়্যার শনাক্তকারীকে একটি দূরবর্তী সার্ভারে পাঠায় এবং আক্রমণকারীদের নির্দেশাবলী পরীক্ষা করে। এই ক্ষমতা হুমকিদাতাদের দূরবর্তীভাবে ডিভাইসটি নিয়ন্ত্রণ করতে এবং প্রয়োজনে অতিরিক্ত কমান্ড কার্যকর করতে দেয়।

ইনস্টলেশনের সময় ভুক্তভোগীকে সতর্ক না করার জন্য, ম্যালওয়্যারটি একটি প্রতারণামূলক ত্রুটি বার্তা প্রদর্শন করে যেখানে বলা হয় যে অ্যাপ্লিকেশনটি সমর্থিত নয়। এই বার্তাটি ব্যবহারকারীদের বিশ্বাস করতে পরিচালিত করে যে ইনস্টলেশন প্রক্রিয়াটি ব্যর্থ হয়েছে, যদিও ম্যালওয়্যারটি ইতিমধ্যেই সফলভাবে স্থাপন করা হয়েছে।

ক্লিকফিক্স কৌশলের মাধ্যমে বিতরণ

SHub-এর প্রাথমিক বিতরণ পদ্ধতি সামাজিক প্রকৌশল এবং ClickFix নামে পরিচিত একটি কৌশলের উপর নির্ভর করে। এই প্রচারণায়, আক্রমণকারীরা একটি প্রতারণামূলক ওয়েবসাইট তৈরি করে যা বৈধ CleanMyMac সফ্টওয়্যার সাইটের অনুকরণ করে। যেসব দর্শক বিশ্বাস করেন যে তারা খাঁটি অ্যাপ্লিকেশনটি ডাউনলোড করছেন তাদের পরিবর্তে অস্বাভাবিক ইনস্টলেশন নির্দেশাবলী দেখানো হয়।

একটি সাধারণ ইনস্টলার ফাইল পাওয়ার পরিবর্তে, ব্যবহারকারীদের ম্যাকওএস টার্মিনাল খুলতে এবং ইনস্টলেশন প্রক্রিয়া সম্পন্ন করার জন্য একটি কমান্ড পেস্ট করতে নির্দেশ দেওয়া হয়। যখন এই কমান্ডটি কার্যকর করা হয়, তখন এটি একটি গোপন স্ক্রিপ্ট ডাউনলোড করে চালায় যা SHub ম্যালওয়্যার ইনস্টল করে।

আক্রমণের ক্রম সাধারণত নিম্নলিখিত উপায়ে প্রকাশিত হয়:

• ভুক্তভোগী CleanMyMac ডাউনলোড পৃষ্ঠার ছদ্মবেশে একটি ভুয়া ওয়েবসাইট পরিদর্শন করেন।
• সাইটটি ব্যবহারকারীকে টার্মিনাল খুলতে এবং ইনস্টলেশনের অংশ হিসেবে একটি প্রদত্ত কমান্ড পেস্ট করার নির্দেশ দেয়।
• কমান্ডটি কার্যকর করলে একটি লুকানো স্ক্রিপ্ট ডাউনলোড হয় এবং রান হয় যা সিস্টেমে SHub ইনস্টল করে।

যেহেতু ভুক্তভোগী এই পদক্ষেপগুলি ম্যানুয়ালি সম্পাদন করে, তাই আক্রমণটি কিছু ঐতিহ্যবাহী নিরাপত্তা সতর্কতা উপেক্ষা করতে পারে।

নিরাপত্তা ঝুঁকি এবং সম্ভাব্য পরিণতি

SHub এর বিস্তৃত ডেটা সংগ্রহ ক্ষমতা এবং দীর্ঘমেয়াদী স্থায়িত্ব বৈশিষ্ট্যের কারণে macOS ব্যবহারকারীদের জন্য একটি গুরুতর হুমকি। একবার ইনস্টল করার পরে, এটি নীরবে সংবেদনশীল তথ্য সংগ্রহ করতে পারে এবং আক্রমণকারীদেরকে ক্ষতিগ্রস্ত ডিভাইসে ক্রমাগত দূরবর্তী অ্যাক্সেস প্রদান করতে পারে।

এই ম্যালওয়্যারের শিকার ব্যক্তিরা বিভিন্ন ধরণের পরিণতির সম্মুখীন হতে পারেন, যার মধ্যে রয়েছে:

SHub যে পরিমাণ তথ্য সংগ্রহ করতে পারে, তার পরিপ্রেক্ষিতে সংক্রমণ প্রতিরোধ করা অত্যন্ত গুরুত্বপূর্ণ। ব্যবহারকারীদের সফ্টওয়্যার ডাউনলোড করার সময় সতর্ক থাকা উচিত, অবিশ্বস্ত উৎস থেকে কমান্ড কার্যকর করা এড়িয়ে চলা উচিত এবং ডাউনলোড সরবরাহকারী ওয়েবসাইটগুলি বৈধ কিনা তা যাচাই করা উচিত। আরও ডেটার ক্ষতি রোধ করার জন্য ম্যালওয়্যারের প্রাথমিক সনাক্তকরণ এবং তাৎক্ষণিক অপসারণ অপরিহার্য।