SHub Stealer
SHub on keerukas infovarastus pahavara, mis on loodud spetsiaalselt macOS-süsteemide rikkuma. Selle peamine eesmärk on hankida tundlikku teavet brauseritest, krüptovaluuta rahakottidest ja erinevatest süsteemikomponentidest. See oht on eriti ohtlik, kuna see ühendab ühe kampaania raames volituste varguse, krüptovaluuta sihtimise ja püsiva juurdepääsu mehhanismid.
Pahavara levitatakse tavaliselt petlike meetodite abil, mis meelitavad kasutajaid ise pahatahtlikke käske täitma. Kui see on aktiivne, kogub SHub vaikselt väärtuslikku teavet ja suudab säilitada pikaajalise juurdepääsu nakatunud seadmele. Kogutava teabe ulatuse tõttu kujutab see oht endast tõsiseid riske, sealhulgas rahalist kahju, identiteedivargust ja kontode ohtu sattumist. Kui SHub süsteemist avastatakse, on oluline see kohe eemaldada.
Sisukord
Esialgne nakatumine ja süsteemi kontrollimine
Nakatumisprotsess algab laaduriga, mis käivitub ohvri Mac-arvutis. Enne pahavara täieliku koormuse avaldamist teeb see laadur süsteemis mitu kontrolli. Üks tähelepanuväärsemaid kontrollimisi hõlmab süsteemi kontrollimist vene klaviatuuripaigutuse olemasolu suhtes. Kui selline klaviatuur tuvastatakse, lõpetab pahavara oma töö ja edastab selle teabe ründajatele.
Kui verifitseerimisetapp on edukas, kogub laadur süsteemi põhiandmed ja edastab need ründajate infrastruktuurile. Nende andmete hulka kuuluvad seadme IP-aadress, hostinimi, macOS-i versioon ja klaviatuuri keele seaded. See teave aitab ründajatel nakatunud masinat enne edasiste toimingute tegemist profiilida.
Seejärel laadib pahavara alla skripti, mis on maskeeritud legitiimseks macOS-i parooli küsimiseks. See võlts küsib justkui tavapärasel viisil kasutaja süsteemiparooli. Kui ohver parooli sisestab, saavad ründajad avada macOS-i võtmehoidja, mis salvestab ülitundlikku teavet, näiteks salvestatud paroole, WiFi-andmeid ja privaatseid krüptovõtmeid.
Ulatuslik andmete kogumine brauseritest ja rahakottidest
Kui süsteemile juurdepääs on turvatud, hakkab SHub seadet skannima, et leida veebibrauserites ja krüptovaluutarakendustes talletatud väärtuslikke andmeid. Pahavara on suunatud paljudele Chromiumi-põhistele brauseritele, sealhulgas Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi ja Coccoc. Samuti on see suunatud Firefoxile.
Nendest brauseritest hangib pahavara salvestatud identimisandmed, küpsised, automaatse täitmise teabe ja muud profiiliandmed kõigist kasutajaprofiilidest. Pahavara kontrollib ka installitud brauserilaiendusi, otsides krüptovaluuta rahakoti laiendusi.
SHub suudab varastada teavet enam kui sajast teadaolevast krüptovaluuta rahakotist. Näideteks on Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom ja Trust Wallet. Nendele laiendustele juurde pääsedes saavad ründajad hankida autentimismärke, rahakoti juurdepääsuandmeid ja muid krüptovaluutakontodega seotud tundlikke andmeid.
Töölaua krüptovaluutarakenduste sihtimine
Lisaks brauseripõhistele rahakottidele keskendub SHub suuresti süsteemi installitud krüptovaluuta rahakotirakendustele. Pahavara kogub andmeid suurelt hulgalt rahakottidelt, sealhulgas Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite ja Wasabi.
Nendest rakendustest eraldatud tundlikud andmed võivad sisaldada rahakoti mandaate, privaatvõtmeid ja muud autentimisteavet. Need andmed võivad ründajatel võimaldada krüptovaluutade üle otsese kontrolli saada.
Lisaks rahakotitarkvarale kogub SHub macOS-i keskkonnast ka muud tundlikku teavet. See hangib andmeid macOS-i võtmehoidjast, iCloudi konto teabest, Safari küpsistest ja sirvimisajaloost, Apple Notesi andmebaasidest ning Telegrami seansifailidest. Lisaks kopeerib pahavara failid .zsh_history, .bash_history ja .gitconfig. Need failid on eriti väärtuslikud, kuna need võivad sisaldada API-võtmeid, autentimismärke või muid arendaja mandaate, mis on salvestatud käskude ajaloos või konfiguratsiooniseadetes.
Rahakoti manipuleerimine jätkuva andmevarguse korral
SHub ei tee lihtsalt salvestatud teabe kogumist. See saab muuta ka teatud krüptovaluuta rahakotirakendusi, et jätkata andmete vargust ka pärast esialgset ohtu.
Kui pahavara tuvastab rahakotte nagu Atomic Wallet, Exodus, Ledger Live, Ledger Wallet või Trezor Suite, asendab see rakenduse põhikomponendi nimega „app.asar” pahatahtliku versiooniga. See muudetud fail töötab vaikselt taustal, võimaldades samal ajal rahakotirakendusel kasutaja vaatenurgast normaalselt toimida.
Selle modifikatsiooni abil jätkavad ohustatud rahakotirakendused tundliku teabe edastamist ründajatele. Varastatud andmed võivad sisaldada rahakoti paroole, idufraase ja taastefraase. Mõned pahavara variandid suudavad kuvada võltsitud taasteviipasid või turvavärskendusteateid, et meelitada kasutajaid otse oma idufraase sisestama.
Püsivus ja kaugjuhtimisvõimalused
Pikaajalise juurdepääsu säilitamiseks ohustatud süsteemile installib SHub tagaukse mehhanismi, mis võimaldab ründajatel nakatunud seadmega suhelda. Pahavara loob taustal ülesande nimega „com.google.keystone.agent.plist”. See nimi on tahtlikult valitud nii, et see meenutaks Google'i legitiimset värskendusteenust, vähendades avastamise tõenäosust.
Alati, kui see taustaülesanne käivitub, käivitab see peidetud skripti, mis saadab Maci unikaalse riistvaraidentifikaatori kaugserverisse ja kontrollib ründajatelt saadud juhiseid. See funktsioon võimaldab ohutegelastel seadet eemalt juhtida ja vajadusel täiendavaid käske täita.
Ohvri installimise ajal hoiatamise vältimiseks kuvab pahavara petliku veateate, mis teatab, et rakendust ei toetata. See teade jätab kasutajatele mulje, et installiprotsess ebaõnnestus, kuigi pahavara on juba edukalt installitud.
Levitamine ClickFixi tehnika abil
SHubi peamine levitamismeetod tugineb sotsiaalsele manipuleerimisele ja tehnikale, mida tuntakse ClickFixi nime all. Selle kampaania käigus loovad ründajad petturliku veebisaidi, mis jäljendab legitiimset CleanMyMaci tarkvarasaiti. Külastajatele, kes usuvad, et nad laadivad alla autentset rakendust, kuvatakse selle asemel ebatavalisi installijuhiseid.
Tavalise installifaili asemel palutakse kasutajatel avada macOS-i terminal ja kleepida sinna käsk installiprotsessi lõpuleviimiseks. Selle käsu täitmisel laaditakse alla ja käivitatakse peidetud skript, mis installib SHub pahavara.
Rünnakujärjestus areneb tavaliselt järgmiselt:
- Ohver külastab võltsitud veebisaiti, mis teeskleb CleanMyMaci allalaadimislehte.
- Sait juhendab kasutajat avama terminali ja kleepima installimise osana antud käsu.
- Käsu käivitamine laadib alla ja käivitab peidetud skripti, mis installib süsteemi SHubi.
Kuna ohver teeb need sammud käsitsi, saab rünnak mööda hiilida mõnest traditsioonilisest turvahoiatusest.
Turvariskid ja võimalikud tagajärjed
SHub kujutab endast tõsist ohtu macOS-i kasutajatele oma ulatuslike andmekogumisvõimaluste ja pikaajalise säilitamise funktsioonide tõttu. Pärast installimist saab see vaikselt tundlikku teavet koguda ja ründajatele pideva kaugjuurdepääsu ohustatud seadmele pakkuda.
Selle pahavara ohvrid võivad silmitsi seista mitmesuguste tagajärgedega, sealhulgas:
Arvestades SHub'i kogutava teabe ulatust, on nakatumise ennetamine kriitilise tähtsusega. Kasutajad peaksid tarkvara allalaadimisel olema ettevaatlikud, vältima ebausaldusväärsetest allikatest pärit käskude täitmist ja kontrollima, et allalaadimist pakkuvad veebisaidid on seaduslikud. Pahavara varajane tuvastamine ja viivitamatu eemaldamine on edasise andmete ohtu sattumise vältimiseks hädavajalik.
