Κλέφτης SHub
Το SHub είναι ένα εξελιγμένο κακόβουλο λογισμικό κλοπής πληροφοριών που έχει σχεδιαστεί ειδικά για να θέσει σε κίνδυνο συστήματα macOS. Ο κύριος στόχος του είναι η εξαγωγή ευαίσθητων πληροφοριών από προγράμματα περιήγησης, πορτοφόλια κρυπτονομισμάτων και διάφορα στοιχεία του συστήματος. Η απειλή είναι ιδιαίτερα επικίνδυνη επειδή συνδυάζει κλοπή διαπιστευτηρίων, στόχευση κρυπτονομισμάτων και μηχανισμούς μόνιμης πρόσβασης σε μία μόνο καμπάνια.
Το κακόβουλο λογισμικό διανέμεται συνήθως μέσω παραπλανητικών μεθόδων που ξεγελούν τους χρήστες ώστε να εκτελούν οι ίδιοι κακόβουλες εντολές. Μόλις ενεργοποιηθεί, το SHub συλλέγει σιωπηλά πολύτιμα δεδομένα και μπορεί να διατηρήσει μακροπρόθεσμη πρόσβαση στη μολυσμένη συσκευή. Λόγω της έκτασης των πληροφοριών που μπορεί να συλλέξει, αυτή η απειλή ενέχει σοβαρούς κινδύνους, όπως οικονομικές απώλειες, κλοπή ταυτότητας και παραβίαση λογαριασμού. Η άμεση αφαίρεση είναι απαραίτητη εάν εντοπιστεί SHub σε ένα σύστημα.
Πίνακας περιεχομένων
Αρχική μόλυνση και επαλήθευση συστήματος
Η διαδικασία μόλυνσης ξεκινά με ένα πρόγραμμα φόρτωσης (loader) που εκτελείται στον Mac του θύματος. Πριν από την ανάπτυξη ολόκληρου του φορτίου κακόβουλου λογισμικού, αυτό το πρόγραμμα φόρτωσης εκτελεί αρκετούς ελέγχους στο σύστημα. Ένας από τους πιο αξιοσημείωτους ελέγχους περιλαμβάνει την εξέταση του συστήματος για την παρουσία διάταξης πληκτρολογίου στα ρωσικά. Εάν εντοπιστεί ένα τέτοιο πληκτρολόγιο, το κακόβουλο λογισμικό τερματίζει την εκτέλεσή του και αναφέρει αυτές τις πληροφορίες στους εισβολείς.
Εάν το στάδιο επαλήθευσης είναι επιτυχές, ο φορτωτής συλλέγει και μεταδίδει βασικές λεπτομέρειες συστήματος στην υποδομή των εισβολέων. Αυτές οι λεπτομέρειες περιλαμβάνουν τη διεύθυνση IP της συσκευής, το όνομα κεντρικού υπολογιστή, την έκδοση macOS και τις ρυθμίσεις γλώσσας πληκτρολογίου. Αυτές οι πληροφορίες βοηθούν τους εισβολείς να δημιουργήσουν το προφίλ του μολυσμένου μηχανήματος πριν προχωρήσουν σε περαιτέρω ενέργειες.
Στη συνέχεια, το κακόβουλο λογισμικό κατεβάζει ένα σενάριο που μεταμφιέζεται σε μια νόμιμη προτροπή κωδικού πρόσβασης macOS. Αυτή η ψεύτικη προτροπή φαίνεται να ζητά τον κωδικό πρόσβασης συστήματος του χρήστη με έναν συνηθισμένο τρόπο. Εάν το θύμα εισαγάγει τον κωδικό πρόσβασης, οι εισβολείς αποκτούν τη δυνατότητα να ξεκλειδώσουν το Keychain macOS, το οποίο αποθηκεύει εξαιρετικά ευαίσθητες πληροφορίες, όπως αποθηκευμένους κωδικούς πρόσβασης, διαπιστευτήρια Wi-Fi και ιδιωτικά κλειδιά κρυπτογράφησης.
Εκτεταμένη συλλογή δεδομένων από προγράμματα περιήγησης και πορτοφόλια
Μόλις η πρόσβαση στο σύστημα είναι ασφαλής, το SHub ξεκινά τη σάρωση της συσκευής για πολύτιμα δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού και εφαρμογές κρυπτονομισμάτων. Το κακόβουλο λογισμικό στοχεύει ένα ευρύ φάσμα προγραμμάτων περιήγησης που βασίζονται στο Chromium, συμπεριλαμβανομένων των Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi και Coccoc. Στοχεύει επίσης τον Firefox.
Από αυτά τα προγράμματα περιήγησης, το κακόβουλο λογισμικό εξάγει αποθηκευμένα διαπιστευτήρια, cookies, πληροφορίες αυτόματης συμπλήρωσης και άλλα δεδομένα προφίλ σε όλα τα προφίλ χρηστών. Το κακόβουλο λογισμικό ελέγχει επίσης τις εγκατεστημένες επεκτάσεις του προγράμματος περιήγησης αναζητώντας επεκτάσεις πορτοφολιού κρυπτονομισμάτων.
Το SHub είναι ικανό να κλέψει πληροφορίες από περισσότερα από εκατό γνωστά πορτοφόλια κρυπτονομισμάτων. Παραδείγματα περιλαμβάνουν τα Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom και Trust Wallet. Με την πρόσβαση σε αυτές τις επεκτάσεις, οι εισβολείς μπορούν να αποκτήσουν διακριτικά ελέγχου ταυτότητας, δεδομένα πρόσβασης σε πορτοφόλια και άλλες ευαίσθητες λεπτομέρειες που συνδέονται με λογαριασμούς κρυπτονομισμάτων.
Στόχευση εφαρμογών κρυπτονομισμάτων για υπολογιστές
Εκτός από τα πορτοφόλια που βασίζονται σε προγράμματα περιήγησης, το SHub επικεντρώνεται σε μεγάλο βαθμό σε εφαρμογές πορτοφολιών κρυπτονομισμάτων για υπολογιστές που είναι εγκατεστημένες στο σύστημα. Το κακόβουλο λογισμικό συλλέγει δεδομένα από μεγάλο αριθμό πορτοφολιών, συμπεριλαμβανομένων των Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite και Wasabi.
Τα ευαίσθητα δεδομένα που εξάγονται από αυτές τις εφαρμογές μπορεί να περιλαμβάνουν διαπιστευτήρια πορτοφολιού, ιδιωτικά κλειδιά και άλλες πληροφορίες ελέγχου ταυτότητας. Αυτά τα δεδομένα μπορούν να επιτρέψουν στους εισβολείς να αποκτήσουν άμεσο έλεγχο επί των διακρατήσεων κρυπτονομισμάτων.
Πέρα από το λογισμικό πορτοφολιού, το SHub συλλέγει επίσης άλλες μορφές ευαίσθητων πληροφοριών από το περιβάλλον macOS. Ανακτά δεδομένα από το Keychain του macOS, πληροφορίες λογαριασμού iCloud, cookies και ιστορικό περιήγησης στο Safari, βάσεις δεδομένων Apple Notes και αρχεία περιόδου λειτουργίας Telegram. Το κακόβουλο λογισμικό αντιγράφει επιπλέον τα αρχεία .zsh_history, .bash_history και .gitconfig. Αυτά τα αρχεία είναι ιδιαίτερα πολύτιμα επειδή ενδέχεται να περιέχουν κλειδιά API, διακριτικά ελέγχου ταυτότητας ή άλλα διαπιστευτήρια προγραμματιστή που είναι αποθηκευμένα σε ιστορικά εντολών ή ρυθμίσεις διαμόρφωσης.
Χειραγώγηση Πορτοφολιού για Συνεχή Κλοπή Δεδομένων
Το SHub κάνει περισσότερα από το να συλλέγει απλώς αποθηκευμένες πληροφορίες. Μπορεί επίσης να τροποποιήσει ορισμένες εφαρμογές πορτοφολιών κρυπτονομισμάτων, προκειμένου να διατηρείται η συνεχής κλοπή δεδομένων ακόμη και μετά την αρχική παραβίαση.
Εάν το κακόβουλο λογισμικό εντοπίσει πορτοφόλια όπως Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ή Trezor Suite, αντικαθιστά ένα βασικό στοιχείο της εφαρμογής γνωστό ως 'app.asar' με μια κακόβουλη έκδοση. Αυτό το τροποποιημένο αρχείο λειτουργεί αθόρυβα στο παρασκήνιο, επιτρέποντας παράλληλα στην εφαρμογή πορτοφολιού να συνεχίσει να λειτουργεί κανονικά από την οπτική γωνία του χρήστη.
Μέσω αυτής της τροποποίησης, οι παραβιασμένες εφαρμογές πορτοφολιού συνεχίζουν να μεταδίδουν ευαίσθητες πληροφορίες στους εισβολείς. Τα κλεμμένα δεδομένα μπορεί να περιλαμβάνουν κωδικούς πρόσβασης πορτοφολιού, φράσεις εκκίνησης και φράσεις ανάκτησης. Ορισμένες παραλλαγές του κακόβουλου λογισμικού είναι ικανές να εμφανίζουν ψεύτικες προτροπές ανάκτησης ή μηνύματα ενημέρωσης ασφαλείας για να ξεγελάσουν τους χρήστες ώστε να εισάγουν απευθείας τις φράσεις εκκίνησης.
Επιμονή και δυνατότητες τηλεχειρισμού
Για να διατηρήσει μακροπρόθεσμη πρόσβαση στο παραβιασμένο σύστημα, το SHub εγκαθιστά έναν μηχανισμό backdoor που επιτρέπει στους εισβολείς να επικοινωνούν με τη μολυσμένη συσκευή. Το κακόβουλο λογισμικό δημιουργεί μια εργασία παρασκηνίου με το όνομα 'com.google.keystone.agent.plist'. Αυτό το όνομα επιλέγεται σκόπιμα για να μοιάζει με την νόμιμη υπηρεσία ενημέρωσης της Google, μειώνοντας την πιθανότητα ανίχνευσης.
Κάθε φορά που εκτελείται αυτή η εργασία στο παρασκήνιο, εκκινεί ένα κρυφό σενάριο που στέλνει το μοναδικό αναγνωριστικό υλικού του Mac σε έναν απομακρυσμένο διακομιστή και ελέγχει για οδηγίες από τους εισβολείς. Αυτή η δυνατότητα επιτρέπει στους απειλητικούς παράγοντες να ελέγχουν εξ αποστάσεως τη συσκευή και να εκτελούν πρόσθετες εντολές όποτε χρειάζεται.
Για να αποφευχθεί η ειδοποίηση του θύματος κατά την εγκατάσταση, το κακόβουλο λογισμικό εμφανίζει ένα παραπλανητικό μήνυμα σφάλματος που δηλώνει ότι η εφαρμογή δεν υποστηρίζεται. Αυτό το μήνυμα οδηγεί τους χρήστες να πιστεύουν ότι η διαδικασία εγκατάστασης απέτυχε, παρόλο που το κακόβουλο λογισμικό έχει ήδη αναπτυχθεί με επιτυχία.
Διανομή μέσω της τεχνικής ClickFix
Η κύρια μέθοδος διανομής για το SHub βασίζεται στην κοινωνική μηχανική και σε μια τεχνική γνωστή ως ClickFix. Σε αυτήν την καμπάνια, οι εισβολείς δημιουργούν έναν δόλιο ιστότοπο που μιμείται τον νόμιμο ιστότοπο λογισμικού CleanMyMac. Οι επισκέπτες που πιστεύουν ότι κατεβάζουν την αυθεντική εφαρμογή, αντίθετα, παρουσιάζονται με ασυνήθιστες οδηγίες εγκατάστασης.
Αντί να λάβουν ένα κανονικό αρχείο εγκατάστασης, οι χρήστες λαμβάνουν οδηγίες να ανοίξουν το τερματικό macOS και να επικολλήσουν μια εντολή για να ολοκληρώσουν τη διαδικασία εγκατάστασης. Όταν εκτελείται αυτή η εντολή, κατεβάζει και εκτελεί ένα κρυφό σενάριο που εγκαθιστά το κακόβουλο λογισμικό SHub.
Η ακολουθία της επίθεσης συνήθως εξελίσσεται ως εξής:
- Το θύμα επισκέπτεται έναν ψεύτικο ιστότοπο που μιμείται τη σελίδα λήψης του CleanMyMac.
- Ο ιστότοπος δίνει οδηγίες στον χρήστη να ανοίξει το Τερματικό και να επικολλήσει μια παρεχόμενη εντολή ως μέρος της εγκατάστασης.
- Η εκτέλεση της εντολής κατεβάζει και εκτελεί ένα κρυφό σενάριο που εγκαθιστά το SHub στο σύστημα.
Επειδή το θύμα εκτελεί αυτά τα βήματα χειροκίνητα, η επίθεση μπορεί να παρακάμψει ορισμένες παραδοσιακές προειδοποιήσεις ασφαλείας.
Κίνδυνοι ασφαλείας και πιθανές συνέπειες
Το SHub αποτελεί σοβαρή απειλή για τους χρήστες macOS λόγω των εκτεταμένων δυνατοτήτων συλλογής δεδομένων και των λειτουργιών μακροπρόθεσμης διατήρησης. Μόλις εγκατασταθεί, μπορεί να συλλέξει αθόρυβα ευαίσθητες πληροφορίες και να παρέχει στους εισβολείς συνεχή απομακρυσμένη πρόσβαση στην παραβιασμένη συσκευή.
Τα θύματα αυτού του κακόβουλου λογισμικού ενδέχεται να αντιμετωπίσουν μια ποικιλία συνεπειών, όπως:
Δεδομένης της κλίμακας των πληροφοριών που μπορεί να συλλέξει το SHub, η πρόληψη της μόλυνσης είναι κρίσιμη. Οι χρήστες θα πρέπει να παραμένουν προσεκτικοί κατά τη λήψη λογισμικού, να αποφεύγουν την εκτέλεση εντολών από μη αξιόπιστες πηγές και να επαληθεύουν ότι οι ιστότοποι που προσφέρουν λήψεις είναι νόμιμοι. Η έγκαιρη ανίχνευση και η άμεση αφαίρεση του κακόβουλου λογισμικού είναι απαραίτητες για την αποτροπή περαιτέρω διαρροής δεδομένων.
