SHub-stjæler

SHub er en sofistikeret informationsstjælende malware, der er designet specifikt til at kompromittere macOS-systemer. Dens primære mål er at udtrække følsomme oplysninger fra browsere, kryptovaluta-tegnebøger og forskellige systemkomponenter. Truslen er særligt farlig, fordi den kombinerer legitimationsoplysninger, kryptovaluta-målretning og vedvarende adgangsmekanismer i en enkelt kampagne.

Malwaren distribueres almindeligvis via vildledende metoder, der narrer brugerne til selv at udføre ondsindede kommandoer. Når SHub er aktiv, indsamler den i stilhed værdifulde data og kan opretholde langsigtet adgang til den inficerede enhed. På grund af omfanget af de oplysninger, den kan indsamle, udgør denne trussel alvorlige risici, herunder økonomiske tab, identitetstyveri og kompromittering af kontoen. Øjeblikkelig fjernelse er afgørende, hvis SHub opdages på et system.

Indledende infektion og systemverifikation

Infektionsprocessen starter med en indlæser, der kører på offerets Mac. Før den fulde malware-nyttelast implementeres, udfører denne indlæser adskillige kontroller på systemet. En af de mest bemærkelsesværdige kontroller involverer at undersøge systemet for tilstedeværelsen af et russisk tastaturlayout. Hvis et sådant tastatur registreres, afslutter malwaren sin kørsel og rapporterer disse oplysninger tilbage til angriberne.

Hvis verifikationsfasen lykkes, indsamler og overfører indlæseren grundlæggende systemoplysninger til angribernes infrastruktur. Disse oplysninger omfatter enhedens IP-adresse, værtsnavn, macOS-version og tastatursprogindstillinger. Disse oplysninger hjælper angriberne med at profilere den inficerede maskine, før de fortsætter med yderligere handlinger.

Bagefter downloader malwaren et script forklædt som en legitim macOS-adgangskodeprompt. Denne falske prompt ser ud til at anmode om brugerens systemadgangskode på en rutinemæssig måde. Hvis offeret indtaster adgangskoden, får angriberne mulighed for at låse macOS-nøgleringen op, som gemmer meget følsomme oplysninger såsom gemte adgangskoder, Wi-Fi-legitimationsoplysninger og private krypteringsnøgler.

Omfattende dataindsamling fra browsere og tegnebøger

Når adgangen til systemet er sikret, begynder SHub at scanne enheden for værdifulde data, der er gemt i webbrowsere og kryptovalutaapplikationer. Malwaren er rettet mod en bred vifte af Chromium-baserede browsere, herunder Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi og Coccoc. Den er også rettet mod Firefox.

Fra disse browsere udtrækker malwaren gemte legitimationsoplysninger, cookies, autofyldningsoplysninger og andre profildata på tværs af alle brugerprofiler. Malwaren inspicerer også installerede browserudvidelser i jagten på udvidelser til kryptovaluta-wallets.

SHub er i stand til at stjæle information fra mere end hundrede kendte kryptovaluta-wallets. Eksempler inkluderer Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom og Trust Wallet. Ved at få adgang til disse udvidelser kan angribere få adgang til autentificeringstokens, adgangsdata til wallets og andre følsomme oplysninger knyttet til kryptovaluta-konti.

Målretning mod desktop-kryptovalutaapplikationer

Udover browserbaserede tegnebøger fokuserer SHub i høj grad på desktop-kryptovaluta-tegnebogsapplikationer, der er installeret på systemet. Malwaren indsamler data fra et stort antal tegnebøger, herunder Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite og Wasabi.

Følsomme data, der udtrækkes fra disse applikationer, kan omfatte loginoplysninger til tegnebøger, private nøgler og andre godkendelsesoplysninger. Disse data kan gøre det muligt for angribere at få direkte kontrol over kryptovalutabeholdninger.

Ud over wallet-software indsamler SHub også andre former for følsomme oplysninger fra macOS-miljøet. Den henter data fra macOS-nøgleringen, iCloud-kontooplysninger, Safari-cookies og browserhistorik, Apple Notes-databaser og Telegram-sessionsfiler. Malwaren kopierer desuden filerne .zsh_history, .bash_history og .gitconfig. Disse filer er særligt værdifulde, fordi de kan indeholde API-nøgler, godkendelsestokens eller andre udviklerlegitimationsoplysninger, der er gemt i kommandohistorik eller konfigurationsindstillinger.

Manipulation af tegnebogen for løbende datatyveri

SHub gør mere end blot at indsamle lagrede oplysninger. Det kan også ændre visse kryptovaluta-tegnebogsapplikationer for at opretholde kontinuerlig datatyveri, selv efter den første kompromittering.

Hvis malwaren registrerer tegnebøger som Atomic Wallet, Exodus, Ledger Live, Ledger Wallet eller Trezor Suite, erstatter den en vigtig programkomponent kendt som 'app.asar' med en skadelig version. Denne ændrede fil kører lydløst i baggrunden, mens den tillader tegnebogsapplikationen at fortsætte med at fungere normalt fra brugerens perspektiv.

Gennem denne ændring fortsætter de kompromitterede tegnebogsapplikationer med at overføre følsomme oplysninger til angriberne. De stjålne data kan omfatte tegnebogsadgangskoder, startfraser og gendannelsesfraser. Nogle varianter af malwaren er i stand til at vise falske gendannelsesprompter eller sikkerhedsopdateringsmeddelelser for at narre brugere til at indtaste deres startfraser direkte.

Vedholdenhed og fjernbetjeningsfunktioner

For at opretholde langsigtet adgang til det kompromitterede system installerer SHub en bagdørsmekanisme, der gør det muligt for angribere at kommunikere med den inficerede enhed. Malwaren opretter en baggrundsopgave med navnet 'com.google.keystone.agent.plist'. Dette navn er bevidst valgt for at ligne Googles legitime opdateringstjeneste, hvilket reducerer sandsynligheden for opdagelse.

Når denne baggrundsopgave kører, starter den et skjult script, der sender Mac'ens unikke hardware-id til en ekstern server og kontrollerer instruktioner fra angriberne. Denne funktion giver trusselsaktørerne mulighed for at fjernstyre enheden og udføre yderligere kommandoer, når det er nødvendigt.

For at undgå at advare offeret under installationen viser malwaren en vildledende fejlmeddelelse, der angiver, at applikationen ikke understøttes. Denne meddelelse får brugerne til at tro, at installationsprocessen mislykkedes, selvom malwaren allerede er blevet installeret korrekt.

Distribution via ClickFix-teknikken

Den primære distributionsmetode for SHub er baseret på social engineering og en teknik kendt som ClickFix. I denne kampagne opretter angriberne en falsk hjemmeside, der imiterer den legitime CleanMyMac-softwareside. Besøgende, der tror, at de downloader den autentiske applikation, får i stedet præsenteret usædvanlige installationsinstruktioner.

I stedet for at modtage en normal installationsfil bliver brugerne bedt om at åbne macOS Terminal og indsætte en kommando for at fuldføre installationsprocessen. Når denne kommando udføres, downloader og kører den et skjult script, der installerer SHub-malwaren.

Angrebssekvensen udfolder sig typisk på følgende måde:

• Offeret besøger en falsk hjemmeside, der udgiver sig for at være CleanMyMac-downloadsiden.
• Webstedet instruerer brugeren i at åbne Terminal og indsætte en angivet kommando som en del af installationen.
• Udførelse af kommandoen downloader og kører et skjult script, der installerer SHub på systemet.

Fordi offeret udfører disse trin manuelt, kan angrebet omgå nogle traditionelle sikkerhedsadvarsler.

Sikkerhedsrisici og potentielle konsekvenser

SHub udgør en alvorlig trussel mod macOS-brugere på grund af dens omfattende dataindsamlingsfunktioner og langsigtede persistensfunktioner. Når den er installeret, kan den i al hemmelighed indsamle følsomme oplysninger og give angribere kontinuerlig fjernadgang til den kompromitterede enhed.

Ofre for denne malware kan stå over for en række konsekvenser, herunder:

• Kryptovalutatyveri fra kompromitterede tegnebogsapplikationer

• Identitetstyveri som følge af stjålne personoplysninger og legitimationsoplysninger

• Uautoriseret adgang til onlinekonti og -tjenester

• Eksponering af udviklerhemmeligheder såsom API-nøgler eller godkendelsestokens

I betragtning af omfanget af information, som SHub kan indsamle, er det afgørende at forhindre infektion. Brugere bør være forsigtige, når de downloader software, undgå at udføre kommandoer fra upålidelige kilder og kontrollere, at websteder, der tilbyder downloads, er legitime. Tidlig opdagelse og øjeblikkelig fjernelse af malware er afgørende for at forhindre yderligere datakompromittering.