دزد SHub

SHub یک بدافزار پیشرفته‌ی سارق اطلاعات است که به‌طور خاص برای به خطر انداختن سیستم‌های macOS طراحی شده است. هدف اصلی آن استخراج اطلاعات حساس از مرورگرها، کیف پول‌های ارز دیجیتال و اجزای مختلف سیستم است. این تهدید به‌ویژه خطرناک است زیرا سرقت اعتبارنامه، هدف قرار دادن ارز دیجیتال و مکانیسم‌های دسترسی مداوم را در یک کمپین واحد ترکیب می‌کند.

این بدافزار معمولاً از طریق روش‌های فریبنده‌ای توزیع می‌شود که کاربران را فریب می‌دهد تا خودشان دستورات مخرب را اجرا کنند. SHub پس از فعال شدن، بی‌سروصدا داده‌های ارزشمندی را جمع‌آوری می‌کند و می‌تواند دسترسی بلندمدت به دستگاه آلوده را حفظ کند. با توجه به وسعت اطلاعاتی که می‌تواند جمع‌آوری کند، این تهدید خطرات جدی از جمله ضررهای مالی، سرقت هویت و به خطر افتادن حساب را ایجاد می‌کند. در صورت شناسایی SHub در یک سیستم، حذف فوری آن ضروری است.

آلودگی اولیه و تأیید سیستم

فرآیند آلوده‌سازی با یک لودر (loader) آغاز می‌شود که روی مک قربانی اجرا می‌شود. این لودر قبل از استقرار کامل بدافزار، چندین بررسی روی سیستم انجام می‌دهد. یکی از قابل توجه‌ترین بررسی‌ها شامل بررسی سیستم برای وجود طرح‌بندی صفحه‌کلید روسی است. در صورت شناسایی چنین صفحه‌کلید، بدافزار اجرای خود را خاتمه داده و این اطلاعات را به مهاجمان گزارش می‌دهد.

اگر مرحله تأیید موفقیت‌آمیز باشد، لودر جزئیات اولیه سیستم را جمع‌آوری و به زیرساخت مهاجمان ارسال می‌کند. این جزئیات شامل آدرس IP دستگاه، نام میزبان، نسخه macOS و تنظیمات زبان صفحه کلید است. این اطلاعات به مهاجمان کمک می‌کند تا قبل از انجام اقدامات بعدی، دستگاه آلوده را شناسایی کنند.

پس از آن، بدافزار اسکریپتی را دانلود می‌کند که خود را به شکل یک درخواست رمز عبور قانونی macOS جا زده است. این درخواست جعلی ظاهراً رمز عبور سیستم کاربر را به روشی معمول درخواست می‌کند. اگر قربانی رمز عبور را وارد کند، مهاجمان توانایی باز کردن قفل MacOS Keychain را به دست می‌آورند که اطلاعات بسیار حساسی مانند رمزهای عبور ذخیره شده، اطلاعات وای‌فای و کلیدهای رمزگذاری خصوصی را ذخیره می‌کند.

جمع‌آوری گسترده داده‌ها از مرورگرها و کیف پول‌ها

پس از ایمن‌سازی دسترسی به سیستم، SHub شروع به اسکن دستگاه برای یافتن داده‌های ارزشمند ذخیره شده در مرورگرهای وب و برنامه‌های ارز دیجیتال می‌کند. این بدافزار طیف گسترده‌ای از مرورگرهای مبتنی بر کرومیوم از جمله Arc، Brave، Chrome، Chrome Beta، Chrome Canary، Chrome DevTools، Chromium، Edge، Opera، Opera GX، Orion، Sidekick، Vivaldi و Coccoc را هدف قرار می‌دهد. همچنین فایرفاکس را نیز هدف قرار می‌دهد.

این بدافزار از این مرورگرها، اطلاعات کاربری ذخیره‌شده، کوکی‌ها، اطلاعات تکمیل خودکار فرم‌ها و سایر داده‌های پروفایل را در تمام پروفایل‌های کاربران استخراج می‌کند. این بدافزار همچنین افزونه‌های نصب‌شده مرورگر را در جستجوی افزونه‌های کیف پول ارز دیجیتال بررسی می‌کند.

SHub قادر به سرقت اطلاعات از بیش از صد کیف پول ارز دیجیتال شناخته شده است. نمونه‌هایی از این کیف پول‌ها عبارتند از Coinbase Wallet، Exodus Web3، Keplr، MetaMask، Phantom و Trust Wallet. با دسترسی به این افزونه‌ها، مهاجمان می‌توانند توکن‌های احراز هویت، داده‌های دسترسی به کیف پول و سایر جزئیات حساس مرتبط با حساب‌های ارز دیجیتال را به دست آورند.

هدف قرار دادن برنامه‌های دسکتاپ ارز دیجیتال

علاوه بر کیف پول‌های مبتنی بر مرورگر، SHub به شدت بر روی برنامه‌های کیف پول ارز دیجیتال دسکتاپ نصب شده روی سیستم تمرکز دارد. این بدافزار داده‌ها را از تعداد زیادی کیف پول، از جمله Atomic Wallet، Binance، Bitcoin Core، BlueWallet، Coinomi، Dogecoin Core، Electrum، Exodus، Guarda، Ledger Live، Ledger Wallet، Litecoin Core، Monero، Sparrow، TON Keeper، Trezor Suite و Wasabi جمع‌آوری می‌کند.

داده‌های حساس استخراج‌شده از این برنامه‌ها ممکن است شامل اطلاعات کیف پول، کلیدهای خصوصی و سایر اطلاعات احراز هویت باشد. این داده‌ها می‌توانند مهاجمان را قادر سازند تا کنترل مستقیم دارایی‌های ارزهای دیجیتال را به دست گیرند.

فراتر از نرم‌افزار کیف پول، SHub همچنین انواع دیگری از اطلاعات حساس را از محیط macOS جمع‌آوری می‌کند. این بدافزار داده‌ها را از Keychain macOS، اطلاعات حساب iCloud، کوکی‌ها و تاریخچه مرور Safari، پایگاه‌های داده Apple Notes و فایل‌های جلسه Telegram بازیابی می‌کند. این بدافزار علاوه بر این، فایل‌های .zsh_history، .bash_history و .gitconfig را نیز کپی می‌کند. این فایل‌ها به ویژه ارزشمند هستند زیرا ممکن است حاوی کلیدهای API، توکن‌های احراز هویت یا سایر اعتبارنامه‌های توسعه‌دهنده ذخیره شده در تاریخچه‌های فرمان یا تنظیمات پیکربندی باشند.

دستکاری کیف پول برای سرقت مداوم داده‌ها

SHub کاری بیش از جمع‌آوری اطلاعات ذخیره‌شده انجام می‌دهد. همچنین می‌تواند برخی از برنامه‌های کیف پول ارز دیجیتال را تغییر دهد تا سرقت مداوم داده‌ها را حتی پس از نفوذ اولیه ادامه دهد.

اگر این بدافزار کیف پول‌هایی مانند Atomic Wallet، Exodus، Ledger Live، Ledger Wallet یا Trezor Suite را شناسایی کند، یک جزء کلیدی برنامه به نام 'app.asar' را با یک نسخه مخرب جایگزین می‌کند. این فایل اصلاح‌شده بی‌سروصدا در پس‌زمینه اجرا می‌شود، در حالی که به برنامه کیف پول اجازه می‌دهد از دید کاربر به عملکرد عادی خود ادامه دهد.

از طریق این تغییر، برنامه‌های کیف پول آلوده به ارسال اطلاعات حساس به مهاجمان ادامه می‌دهند. داده‌های سرقت شده ممکن است شامل رمزهای عبور کیف پول، عبارات بازیابی و عبارات بازیابی باشد. برخی از انواع این بدافزار قادر به نمایش پیام‌های بازیابی جعلی یا پیام‌های به‌روزرسانی امنیتی هستند تا کاربران را فریب دهند تا عبارات بازیابی خود را مستقیماً وارد کنند.

قابلیت‌های پایداری و کنترل از راه دور

برای حفظ دسترسی بلندمدت به سیستم آسیب‌دیده، SHub یک مکانیزم درب پشتی نصب می‌کند که مهاجمان را قادر می‌سازد با دستگاه آلوده ارتباط برقرار کنند. این بدافزار یک وظیفه پس‌زمینه به نام 'com.google.keystone.agent.plist' ایجاد می‌کند. این نام عمداً طوری انتخاب شده است که شبیه سرویس به‌روزرسانی قانونی گوگل باشد و احتمال شناسایی را کاهش دهد.

هر زمان که این وظیفه پس‌زمینه اجرا می‌شود، یک اسکریپت پنهان را اجرا می‌کند که شناسه سخت‌افزاری منحصر به فرد مک را به یک سرور از راه دور ارسال می‌کند و دستورالعمل‌های مهاجمان را بررسی می‌کند. این قابلیت به مهاجمان اجازه می‌دهد تا از راه دور دستگاه را کنترل کرده و در صورت نیاز، دستورات اضافی را اجرا کنند.

برای جلوگیری از هشدار به قربانی در حین نصب، بدافزار یک پیام خطای فریبنده مبنی بر عدم پشتیبانی از برنامه نمایش می‌دهد. این پیام کاربران را به این باور می‌رساند که فرآیند نصب با شکست مواجه شده است، حتی اگر بدافزار قبلاً با موفقیت مستقر شده باشد.

توزیع از طریق تکنیک ClickFix

روش اصلی توزیع SHub متکی بر مهندسی اجتماعی و تکنیکی به نام ClickFix است. در این کمپین، مهاجمان یک وب‌سایت جعلی ایجاد می‌کنند که از سایت نرم‌افزار CleanMyMac تقلید می‌کند. بازدیدکنندگانی که معتقدند در حال دانلود برنامه‌ی اصلی هستند، در عوض با دستورالعمل‌های نصب غیرمعمول مواجه می‌شوند.

به جای دریافت یک فایل نصب‌کننده‌ی معمولی، به کاربران دستور داده می‌شود که ترمینال macOS را باز کرده و یک دستور را برای تکمیل فرآیند نصب وارد کنند. هنگامی که این دستور اجرا می‌شود، یک اسکریپت پنهان دانلود و اجرا می‌شود که بدافزار SHub را نصب می‌کند.

توالی حمله معمولاً به شرح زیر است:

• قربانی از یک وب‌سایت جعلی که خود را به عنوان صفحه دانلود CleanMyMac جا می‌زند، بازدید می‌کند.
• این سایت به کاربر دستور می‌دهد که ترمینال را باز کند و دستور ارائه شده را به عنوان بخشی از نصب، پیست کند.
• اجرای این دستور، یک اسکریپت مخفی را دانلود و اجرا می‌کند که SHub را روی سیستم نصب می‌کند.

از آنجا که قربانی این مراحل را به صورت دستی انجام می‌دهد، حمله می‌تواند برخی از هشدارهای امنیتی سنتی را دور بزند.

خطرات امنیتی و پیامدهای احتمالی

SHub به دلیل قابلیت‌های گسترده جمع‌آوری داده‌ها و ویژگی‌های ماندگاری طولانی‌مدت، تهدیدی جدی برای کاربران macOS محسوب می‌شود. پس از نصب، می‌تواند بی‌سروصدا اطلاعات حساس را جمع‌آوری کرده و دسترسی مداوم از راه دور به دستگاه آسیب‌دیده را برای مهاجمان فراهم کند.

قربانیان این بدافزار ممکن است با عواقب مختلفی از جمله موارد زیر روبرو شوند:

با توجه به حجم اطلاعاتی که SHub می‌تواند جمع‌آوری کند، جلوگیری از آلودگی بسیار مهم است. کاربران باید هنگام دانلود نرم‌افزار محتاط باشند، از اجرای دستورات از منابع نامعتبر خودداری کنند و از قانونی بودن وب‌سایت‌هایی که امکان دانلود را فراهم می‌کنند، اطمینان حاصل کنند. تشخیص زودهنگام و حذف فوری بدافزار برای جلوگیری از به خطر افتادن بیشتر داده‌ها ضروری است.