Slevová nabídka pro více licencí
Databáze hrozeb Mac malware Zloděj SHubů

Zloděj SHubů

V roce Mezo v roce Mac malware, Zloději
Přeložit do:

SHub je sofistikovaný malware kradející informace, který je speciálně navržen tak, aby kompromitoval systémy macOS. Jeho primárním cílem je extrahovat citlivé informace z prohlížečů, kryptoměnových peněženek a různých systémových komponent. Tato hrozba je obzvláště nebezpečná, protože v rámci jedné kampaně kombinuje krádež přihlašovacích údajů, cílení na kryptoměny a mechanismy trvalého přístupu.

Tento malware se běžně šíří klamnými metodami, které uživatele lstí přimějí k provedení škodlivých příkazů. Jakmile je SHub aktivní, tiše shromažďuje cenná data a dokáže si udržet dlouhodobý přístup k infikovanému zařízení. Vzhledem k rozsahu informací, které dokáže shromáždit, představuje tato hrozba vážná rizika, včetně finančních ztrát, krádeže identity a kompromitace účtu. Pokud je SHub v systému objeven, je nezbytné jeho okamžité odstranění.

Počáteční infekce a ověření systému

Proces infekce začíná zavaděčem, který se spustí na Macu oběti. Před nasazením celé malwarové sady provede tento zavaděč v systému několik kontrol. Jednou z nejvýznamnějších kontrol je prozkoumání systému na přítomnost ruského rozložení klávesnice. Pokud je taková klávesnice detekována, malware ukončí své provádění a oznámí tuto informaci útočníkům.

Pokud je fáze ověření úspěšná, zavaděč shromáždí a odešle základní systémové informace do infrastruktury útočníků. Mezi tyto informace patří IP adresa zařízení, název hostitele, verze macOS a nastavení jazyka klávesnice. Tyto informace pomáhají útočníkům profilovat infikovaný počítač před dalšími akcemi.

Poté malware stáhne skript maskovaný jako legitimní výzva k zadání hesla macOS. Tato falešná výzva zdánlivě rutinním způsobem požaduje systémové heslo uživatele. Pokud oběť heslo zadá, útočníci získají možnost odemknout svazek klíčů macOS, který uchovává vysoce citlivé informace, jako jsou uložená hesla, přihlašovací údaje k Wi-Fi a soukromé šifrovací klíče.

Rozsáhlý sběr dat z prohlížečů a peněženek

Jakmile je přístup k systému zabezpečen, SHub začne skenovat zařízení a vyhledávat cenná data uložená ve webových prohlížečích a kryptoměnových aplikacích. Malware cílí na širokou škálu prohlížečů založených na prohlížeči Chromium, včetně Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi a Coccoc. Cílí také na Firefox.

Z těchto prohlížečů malware extrahuje uložené přihlašovací údaje, soubory cookie, informace o automatickém vyplňování a další profilová data napříč všemi uživatelskými profily. Malware také kontroluje nainstalovaná rozšíření prohlížeče a hledá rozšíření kryptoměnových peněženek.

SHub je schopen krást informace z více než stovky známých kryptoměnových peněženek. Mezi příklady patří Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom a Trust Wallet. Přístupem k těmto rozšířením mohou útočníci získat autentizační tokeny, přístupové údaje k peněženkám a další citlivé údaje spojené s kryptoměnovými účty.

Cílení na desktopové kryptoměnové aplikace

Kromě peněženek v prohlížeči se SHub silně zaměřuje na desktopové aplikace kryptoměnových peněženek nainstalované v systému. Malware shromažďuje data z velkého počtu peněženek, včetně Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite a Wasabi.

Citlivá data extrahovaná z těchto aplikací mohou zahrnovat přihlašovací údaje k peněženkám, soukromé klíče a další ověřovací informace. Tato data mohou útočníkům umožnit získat přímou kontrolu nad kryptoměnami.

Kromě softwaru pro tvorbu peněženek SHub shromažďuje z prostředí macOS i další citlivé informace. Načítá data z klíčenky macOS, informace o účtu iCloud, soubory cookie a historii prohlížení Safari, databáze Apple Notes a soubory relací Telegramu. Malware dále kopíruje soubory .zsh_history, .bash_history a .gitconfig. Tyto soubory jsou obzvláště cenné, protože mohou obsahovat klíče API, ověřovací tokeny nebo jiné přihlašovací údaje vývojáře uložené v historii příkazů nebo konfiguračních nastaveních.

Manipulace s peněženkami pro pokračující krádeže dat

SHub dělá víc než jen shromažďuje uložené informace. Dokáže také upravovat určité aplikace kryptoměnových peněženek, aby i po počátečním napadení zajistil nepřetržitou krádež dat.

Pokud malware detekuje peněženky jako Atomic Wallet, Exodus, Ledger Live, Ledger Wallet nebo Trezor Suite, nahradí klíčovou komponentu aplikace známou jako „app.asar“ škodlivou verzí. Tento upravený soubor pracuje tiše na pozadí a zároveň umožňuje aplikaci peněženky z pohledu uživatele nadále normálně fungovat.

Prostřednictvím této modifikace napadené aplikace peněženek nadále přenášejí útočníkům citlivé informace. Ukradená data mohou zahrnovat hesla k peněženkám, seed fráze a fráze pro obnovení. Některé varianty malwaru jsou schopny zobrazovat falešné výzvy k obnovení nebo zprávy o aktualizacích zabezpečení, aby uživatele oklamaly k přímému zadání seed frází.

Perzistence a možnosti dálkového ovládání

Aby si SHub udržel dlouhodobý přístup k napadenému systému, nainstaluje mechanismus zadních vrátek, který útočníkům umožňuje komunikaci s infikovaným zařízením. Malware vytváří úlohu na pozadí s názvem „com.google.keystone.agent.plist“. Tento název je záměrně zvolen tak, aby připomínal legitimní aktualizační službu Googlu, a tím se snižuje pravděpodobnost odhalení.

Kdykoli se tato úloha na pozadí spustí, spustí se skrytý skript, který odešle jedinečný hardwarový identifikátor Macu na vzdálený server a zkontroluje pokyny od útočníků. Tato funkce umožňuje útočníkům vzdáleně ovládat zařízení a provádět další příkazy, kdykoli je to potřeba.

Aby se zabránilo upozornění oběti během instalace, malware zobrazuje klamavou chybovou zprávu, že aplikace není podporována. Tato zpráva vede uživatele k domněnce, že proces instalace selhal, přestože malware již byl úspěšně nasazen.

Distribuce prostřednictvím techniky ClickFix

Primární distribuční metoda pro SHub se opírá o sociální inženýrství a techniku známou jako ClickFix. V této kampani útočníci vytvoří podvodnou webovou stránku, která napodobuje legitimní web se softwarem CleanMyMac. Návštěvníci, kteří se domnívají, že stahují autentickou aplikaci, jsou místo toho vystaveni neobvyklým instalačním pokynům.

Místo běžného instalačního souboru jsou uživatelé instruováni k otevření terminálu macOS a vložení příkazu pro dokončení instalace. Po spuštění tohoto příkazu se stáhne a spustí skrytý skript, který nainstaluje malware SHub.

Sekvence útoku se obvykle odvíjí následovně:

  • Oběť navštíví falešnou webovou stránku, která se vydává za stránku pro stahování CleanMyMac.
  • Stránka v rámci instalace nařídí uživateli, aby otevřel Terminál a vložil zadaný příkaz.
  • Spuštěním příkazu se stáhne a spustí skrytý skript, který nainstaluje SHub do systému.

Protože oběť provádí tyto kroky ručně, útok může obejít některá tradiční bezpečnostní varování.

Bezpečnostní rizika a potenciální důsledky

SHub představuje pro uživatele macOS vážnou hrozbu kvůli svým rozsáhlým možnostem sběru dat a funkcím dlouhodobé perzistence. Po instalaci dokáže nenápadně shromažďovat citlivé informace a útočníkům poskytovat nepřetržitý vzdálený přístup k napadenému zařízení.

Oběti tohoto malwaru mohou čelit řadě následků, včetně:

  • Krádež kryptoměn z napadených peněženkových aplikací
  • Krádež identity v důsledku odcizení osobních údajů a přihlašovacích údajů
  • Neoprávněný přístup k online účtům a službám
  • Zveřejnění vývojářských tajných dat, jako jsou klíče API nebo ověřovací tokeny

Vzhledem k rozsahu informací, které SHub dokáže shromažďovat, je prevence infekce zásadní. Uživatelé by měli být při stahování softwaru opatrní, vyhýbat se provádění příkazů z nedůvěryhodných zdrojů a ověřit si legitimnost webových stránek nabízejících stahování. Včasná detekce a okamžité odstranění malwaru je nezbytné pro zabránění dalšímu ohrožení dat.

Trendy

Nejvíce shlédnuto

Načítání...