Monen lisenssin alennustarjous
Uhatietokanta Mac-haittaohjelma SHub-varas

SHub-varas

Vuonna Mezo vuonna Mac-haittaohjelma, Varastajat
Käännä:

SHub on hienostunut tietoja varastava haittaohjelma, joka on suunniteltu erityisesti macOS-järjestelmien vaarantamiseen. Sen ensisijainen tavoite on poimia arkaluonteisia tietoja selaimista, kryptovaluuttalompakoista ja eri järjestelmäkomponenteista. Uhka on erityisen vaarallinen, koska se yhdistää tunnistetietojen varastamisen, kryptovaluuttaan kohdistuvat kohdistukset ja pysyvät käyttömekanismit yhden kampanjan sisällä.

Haittaohjelma leviää yleensä harhaanjohtavilla menetelmillä, jotka huijaavat käyttäjiä suorittamaan itse haitallisia komentoja. Kun se on aktiivinen, SHub kerää salaa arvokasta tietoa ja voi ylläpitää pitkäaikaista pääsyä tartunnan saaneeseen laitteeseen. Keräämänsä tiedon laajuuden vuoksi tämä uhka aiheuttaa vakavia riskejä, kuten taloudellisia menetyksiä, identiteettivarkauksia ja tilin vaarantumista. Välitön poistaminen on välttämätöntä, jos SHub havaitaan järjestelmästä.

Alustava tartunta ja järjestelmän varmennus

Tartuntaprosessi alkaa uhrin Mac-tietokoneella suoritettavalla latausohjelmalla. Ennen haittaohjelman täyden hyötykuorman käyttöönottoa latausohjelma suorittaa useita tarkistuksia järjestelmälle. Yksi merkittävimmistä tarkistuksista on venäläisen näppäimistöasettelun tarkistaminen järjestelmän varalta. Jos tällainen näppäimistö havaitaan, haittaohjelma lopettaa suorituksensa ja raportoi tiedot hyökkääjille.

Jos vahvistusvaihe onnistuu, lataaja kerää ja lähettää järjestelmän perustiedot hyökkääjien infrastruktuurille. Näitä tietoja ovat laitteen IP-osoite, isäntänimi, macOS-versio ja näppäimistön kieliasetukset. Nämä tiedot auttavat hyökkääjiä profiloimaan tartunnan saaneen koneen ennen jatkotoimiin ryhtymistä.

Jälkeenpäin haittaohjelma lataa komentosarjan, joka on naamioitu lailliseksi macOS-salasanakehotteeksi. Tämä tekaistu kehote näyttää pyytävän käyttäjän järjestelmäsalasanaa rutiininomaisesti. Jos uhri antaa salasanan, hyökkääjät saavat mahdollisuuden avata macOS-avainnipun, joka tallentaa erittäin arkaluontoisia tietoja, kuten tallennettuja salasanoja, Wi-Fi-tunnuksia ja yksityisiä salausavaimia.

Laaja tiedonkeruu selaimista ja lompakoista

Kun pääsy järjestelmään on suojattu, SHub alkaa skannata laitetta etsien arvokasta dataa, joka on tallennettu verkkoselaimiin ja kryptovaluuttasovelluksiin. Haittaohjelma kohdistuu useisiin Chromium-pohjaisiin selaimiin, mukaan lukien Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi ja Coccoc. Se kohdistuu myös Firefoxiin.

Näistä selaimista haittaohjelma poimii tallennetut tunnistetiedot, evästeet, automaattisen täytön tiedot ja muut profiilitiedot kaikista käyttäjäprofiileista. Haittaohjelma tarkistaa myös asennetut selainlaajennukset etsien kryptovaluuttalompakoiden laajennuksia.

SHub pystyy varastamaan tietoja yli sadasta tunnetusta kryptovaluuttalompakosta. Esimerkkejä ovat Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom ja Trust Wallet. Näitä laajennuksia käyttämällä hyökkääjät voivat saada haltuunsa todennustunnuksia, lompakon käyttötietoja ja muita kryptovaluuttatileihin liittyviä arkaluonteisia tietoja.

Työpöytäsovellusten kohdentaminen kryptovaluuttana

Selainpohjaisten lompakoiden lisäksi SHub keskittyy vahvasti järjestelmään asennettuihin kryptovaluuttalompakkosovelluksiin tietokoneilla. Haittaohjelma kerää tietoja suuresta määrästä lompakoita, mukaan lukien Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite ja Wasabi.

Näistä sovelluksista kerättyihin arkaluonteisiin tietoihin voivat sisältyä lompakon tunnistetiedot, yksityiset avaimet ja muut todennustiedot. Näiden tietojen avulla hyökkääjät voivat saada suoran hallinnan kryptovaluuttavarannoista.

Lompakko-ohjelmistojen lisäksi SHub kerää macOS-ympäristöstä myös muita arkaluonteisia tietoja. Se hakee tietoja macOS:n avainnipusta, iCloud-tilitiedoista, Safarin evästeistä ja selaushistoriasta, Apple Notes -tietokannoista ja Telegram-istuntotiedostoista. Haittaohjelma kopioi lisäksi tiedostot .zsh_history, .bash_history ja .gitconfig. Nämä tiedostot ovat erityisen arvokkaita, koska ne voivat sisältää API-avaimia, todennustunnuksia tai muita kehittäjän tunnistetietoja, jotka on tallennettu komentohistoriaan tai määritysasetuksiin.

Lompakon manipulointi jatkuvia tietovarkauksia varten

SHub ei ainoastaan kerää tallennettuja tietoja, vaan se voi myös muokata tiettyjä kryptovaluuttalompakkosovelluksia jatkaakseen jatkuvaa tietojen varastamista myös alkuperäisen tietomurron jälkeen.

Jos haittaohjelma havaitsee lompakoita, kuten Atomic Wallet, Exodus, Ledger Live, Ledger Wallet tai Trezor Suite, se korvaa keskeisen sovelluskomponentin nimeltä 'app.asar' haitallisella versiolla. Tämä muokattu tiedosto toimii hiljaa taustalla ja antaa lompakkosovelluksen jatkaa normaalia toimintaansa käyttäjän näkökulmasta.

Tämän muutoksen avulla vaarantuneet lompakkosovellukset jatkavat arkaluonteisten tietojen lähettämistä hyökkääjille. Varastetut tiedot voivat sisältää lompakon salasanoja, siemenlausekkeita ja palautuslausekkeita. Jotkin haittaohjelman muunnelmat pystyvät näyttämään väärennettyjä palautuskehotteita tai tietoturvapäivitysviestejä huijatakseen käyttäjiä antamaan siemenlausekkeensa suoraan.

Pysyvyys ja etähallintaominaisuudet

Jotta tartunnan saaneeseen järjestelmään päästäisiin pitkäaikaisesti, SHub asentaa takaporttimekanismin, jonka avulla hyökkääjät voivat kommunikoida tartunnan saaneen laitteen kanssa. Haittaohjelma luo taustatehtävän nimeltä 'com.google.keystone.agent.plist'. Tämä nimi on tarkoituksella valittu muistuttamaan Googlen laillista päivityspalvelua, mikä vähentää havaitsemisen todennäköisyyttä.

Aina kun tämä taustatehtävä suoritetaan, se käynnistää piilotetun komentosarjan, joka lähettää Macin yksilöllisen laitteistotunnisteen etäpalvelimelle ja tarkistaa hyökkääjiltä tulevat ohjeet. Tämän ominaisuuden avulla uhkatoimijat voivat hallita laitetta etänä ja suorittaa lisäkomentoja aina tarvittaessa.

Välttääkseen uhrin varoituksen asennuksen aikana haittaohjelma näyttää harhaanjohtavan virheilmoituksen, jonka mukaan sovellusta ei tueta. Tämä viesti antaa käyttäjille kuvan, että asennusprosessi epäonnistui, vaikka haittaohjelma olisi jo asennettu onnistuneesti.

Jakelu ClickFix-tekniikan avulla

SHubin ensisijainen levitystapa perustuu sosiaaliseen manipulointiin ja ClickFix-nimiseen tekniikkaan. Tässä kampanjassa hyökkääjät luovat huijaavan verkkosivuston, joka jäljittelee laillista CleanMyMac-ohjelmistosivustoa. Vierailijoille, jotka uskovat lataavansa aidon sovelluksen, näytetään sen sijaan epätavallisia asennusohjeita.

Tavallisen asennustiedoston sijaan käyttäjiä ohjeistetaan avaamaan macOS:n pääte ja liittämään komento asennuksen loppuun saattamiseksi. Kun tämä komento suoritetaan, se lataa ja suorittaa piilotetun komentosarjan, joka asentaa SHub-haittaohjelman.

Hyökkäysjärjestys etenee tyypillisesti seuraavasti:

  • Uhri vierailee väärennetyllä verkkosivustolla, joka tekeytyy CleanMyMacin lataussivuksi.
  • Sivusto opastaa käyttäjää avaamaan Pääte-ikkunan ja liittämään annetun komennon osana asennusta.
  • Komennon suorittaminen lataa ja suorittaa piilotetun komentosarjan, joka asentaa SHubin järjestelmään.

Koska uhri suorittaa nämä vaiheet manuaalisesti, hyökkäys voi ohittaa joitakin perinteisiä tietoturvavaroituksia.

Turvallisuusriskit ja mahdolliset seuraukset

SHub on vakava uhka macOS-käyttäjille laajojen tiedonkeruuominaisuuksiensa ja pitkäaikaisten säilyvyysominaisuuksiensa ansiosta. Asennuksen jälkeen se voi hiljaisesti kerätä arkaluonteisia tietoja ja tarjota hyökkääjille jatkuvan etäkäytön vaarantuneeseen laitteeseen.

Tämän haittaohjelman uhrit voivat kohdata erilaisia seurauksia, mukaan lukien:

  • Kryptovaluuttojen varkaus vaarantuneista lompakkosovelluksista
  • Identiteettivarkaus, joka johtuu varastetuista henkilötiedoista ja tunnistetiedoista
  • Luvaton pääsy verkkotileille ja -palveluihin
  • Kehittäjäsalaisuuksien, kuten API-avainten tai todennustunnusten, paljastuminen

Ottaen huomioon SHubin keräämien tietojen laajuuden, tartuntojen estäminen on kriittistä. Käyttäjien tulisi olla varovaisia ladatessaan ohjelmistoja, välttää komentojen suorittamista epäluotettavista lähteistä ja varmistaa, että latauksia tarjoavat verkkosivustot ovat laillisia. Haittaohjelman varhainen havaitseminen ja välitön poistaminen on välttämätöntä tietojen lisävaarantumisen estämiseksi.

Trendaavat

Eniten katsottu

Ladataan...