Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Lladre de Shub

Lladre de Shub

El Mezo el Programari maliciós per a Mac, Ladrons
Traduir a:

L'SHub és un programari maliciós sofisticat que roba informació i està dissenyat específicament per comprometre els sistemes macOS. El seu objectiu principal és extreure informació sensible dels navegadors, les carteres de criptomonedes i diversos components del sistema. L'amenaça és particularment perillosa perquè combina el robatori de credencials, la segmentació de criptomonedes i els mecanismes d'accés persistent dins d'una sola campanya.

El programari maliciós es distribueix habitualment a través de mètodes enganyosos que enganyen els usuaris perquè executin ordres malicioses ells mateixos. Un cop actiu, el SHub recopila silenciosament dades valuoses i pot mantenir l'accés a llarg termini al dispositiu infectat. A causa de l'abast de la informació que pot recopilar, aquesta amenaça planteja riscos greus, com ara pèrdues financeres, robatori d'identitat i compromís de comptes. L'eliminació immediata és essencial si es descobreix el SHub en un sistema.

Infecció inicial i verificació del sistema

El procés d'infecció comença amb un carregador que s'executa al Mac de la víctima. Abans de desplegar tota la càrrega de programari maliciós, aquest carregador realitza diverses comprovacions al sistema. Una de les comprovacions més destacades consisteix a examinar el sistema per detectar la presència d'una disposició de teclat rus. Si es detecta aquest teclat, el programari maliciós finalitza la seva execució i informa d'aquesta informació als atacants.

Si la fase de verificació té èxit, el carregador recopila i transmet detalls bàsics del sistema a la infraestructura dels atacants. Aquests detalls inclouen l'adreça IP del dispositiu, el nom de l'amfitrió, la versió de macOS i la configuració de l'idioma del teclat. Aquesta informació ajuda els atacants a perfilar la màquina infectada abans de continuar amb les accions posteriors.

Després, el programari maliciós descarrega un script disfressat de sol·licitud de contrasenya legítima de macOS. Aquesta sol·licitud falsa sembla sol·licitar la contrasenya del sistema de l'usuari de manera rutinària. Si la víctima introdueix la contrasenya, els atacants aconsegueixen desbloquejar el clauer de macOS, que emmagatzema informació altament sensible com ara contrasenyes desades, credencials de Wi-Fi i claus de xifratge privades.

Àmplia recopilació de dades de navegadors i moneders

Un cop s'ha assegurat l'accés al sistema, SHub comença a escanejar el dispositiu a la recerca de dades valuoses emmagatzemades en navegadors web i aplicacions de criptomoneda. El programari maliciós té com a objectiu una àmplia gamma de navegadors basats en Chromium, com ara Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi i Coccoc. També té com a objectiu Firefox.

D'aquests navegadors, el programari maliciós extreu les credencials emmagatzemades, les galetes, la informació d'emplenament automàtic i altres dades de perfil de tots els perfils d'usuari. El programari maliciós també inspecciona les extensions del navegador instal·lades a la recerca d'extensions de cartera de criptomonedes.

SHub és capaç de robar informació de més de cent moneders de criptomonedes coneguts. Alguns exemples són Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom i Trust Wallet. En accedir a aquestes extensions, els atacants poden obtenir tokens d'autenticació, dades d'accés a moneders i altres detalls sensibles vinculats a comptes de criptomonedes.

Aplicacions de criptomoneda d’escriptori dirigides

A més dels moneders basats en navegador, SHub se centra principalment en les aplicacions de moneders de criptomoneda d'escriptori instal·lades al sistema. El programari maliciós recopila dades d'un gran nombre de moneders, com ara Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite i Wasabi.

Les dades sensibles extretes d'aquestes aplicacions poden incloure credencials de moneder, claus privades i altra informació d'autenticació. Aquestes dades poden permetre als atacants obtenir control directe sobre les criptomonedes.

A més del programari de moneder, SHub també recopila altres formes d'informació sensible de l'entorn macOS. Recupera dades del clauer de macOS, informació del compte d'iCloud, galetes i historial de navegació de Safari, bases de dades d'Apple Notes i fitxers de sessió de Telegram. El programari maliciós també copia els fitxers .zsh_history, .bash_history i .gitconfig. Aquests fitxers són particularment valuosos perquè poden contenir claus d'API, testimonis d'autenticació o altres credencials de desenvolupador emmagatzemades a l'historial d'ordres o als paràmetres de configuració.

Manipulació de carteres per al robatori continu de dades

SHub fa més que simplement recopilar informació emmagatzemada. També pot modificar certes aplicacions de moneder de criptomonedes per tal de mantenir el robatori continu de dades fins i tot després del compromís inicial.

Si el programari maliciós detecta moneders com ara Atomic Wallet, Exodus, Ledger Live, Ledger Wallet o Trezor Suite, substitueix un component clau de l'aplicació conegut com a "app.asar" per una versió maliciosa. Aquest fitxer modificat funciona silenciosament en segon pla mentre permet que l'aplicació de moneder continuï funcionant normalment des de la perspectiva de l'usuari.

Amb aquesta modificació, les aplicacions de cartera compromeses continuen transmetent informació sensible als atacants. Les dades robades poden incloure contrasenyes de cartera, frases llavor i frases de recuperació. Algunes variants del programari maliciós són capaces de mostrar avisos de recuperació falsos o missatges d'actualització de seguretat per enganyar els usuaris perquè introdueixin les seves frases llavor directament.

Capacitats de persistència i control remot

Per mantenir l'accés a llarg termini al sistema compromès, SHub instal·la un mecanisme de porta del darrere que permet als atacants comunicar-se amb el dispositiu infectat. El programari maliciós crea una tasca en segon pla anomenada "com.google.keystone.agent.plist". Aquest nom s'ha triat intencionadament perquè s'assembli al servei d'actualització legítim de Google, cosa que redueix la probabilitat de detecció.

Sempre que s'executa aquesta tasca en segon pla, inicia un script ocult que envia l'identificador únic de maquinari del Mac a un servidor remot i comprova les instruccions dels atacants. Aquesta capacitat permet als actors amenaçadors controlar el dispositiu de forma remota i executar ordres addicionals sempre que sigui necessari.

Per evitar alertar la víctima durant la instal·lació, el programari maliciós mostra un missatge d'error enganyós que indica que l'aplicació no és compatible. Aquest missatge fa creure als usuaris que el procés d'instal·lació ha fallat, tot i que el programari maliciós ja s'ha implementat correctament.

Distribució mitjançant la tècnica ClickFix

El mètode de distribució principal de SHub es basa en l'enginyeria social i una tècnica coneguda com a ClickFix. En aquesta campanya, els atacants creen un lloc web fraudulent que imita el lloc legítim del programari CleanMyMac. Als visitants que creuen que estan descarregant l'aplicació autèntica se'ls presenten instruccions d'instal·lació inusuals.

En lloc de rebre un fitxer d'instal·lació normal, els usuaris han d'obrir el terminal de macOS i enganxar una ordre per completar el procés d'instal·lació. Quan s'executa aquesta ordre, es descarrega i s'executa un script ocult que instal·la el programari maliciós SHub.

La seqüència d'atac normalment es desenvolupa de la següent manera:

  • La víctima visita un lloc web fals que suplanta la pàgina de descàrrega de CleanMyMac.
  • El lloc indica a l'usuari que obri el Terminal i enganxi una ordre proporcionada com a part de la instal·lació.
  • En executar l'ordre, es descarrega i s'executa un script ocult que instal·la el SHub al sistema.

Com que la víctima realitza aquests passos manualment, l'atac pot eludir alguns avisos de seguretat tradicionals.

Riscos de seguretat i possibles conseqüències

El SHub representa una greu amenaça per als usuaris de macOS a causa de les seves àmplies capacitats de recopilació de dades i les seves funcions de persistència a llarg termini. Un cop instal·lat, pot recopilar informació sensible de manera silenciosa i proporcionar als atacants accés remot continu al dispositiu compromès.

Les víctimes d'aquest programari maliciós poden patir diverses conseqüències, com ara:

  • Robatori de criptomonedes d'aplicacions de cartera compromeses
  • Robatori d'identitat derivat del robatori de dades personals i credencials
  • Accés no autoritzat a comptes i serveis en línia
  • Exposició de secrets de desenvolupador com ara claus API o tokens d'autenticació

Donada la quantitat d'informació que SHub pot recopilar, és fonamental prevenir la infecció. Els usuaris han de ser prudents en descarregar programari, evitar executar ordres de fonts no fiables i verificar que els llocs web que ofereixen descàrregues siguin legítims. La detecció precoç i l'eliminació immediata del programari maliciós són essencials per evitar que les dades es comprometin més.

Tendència

Més vist

Carregant...