הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנות זדוניות של Mac SHub Stealer

SHub Stealer

עד Mezo ב-תוכנות זדוניות של Mac, גונבים
לתרגם ל:

SHub היא תוכנה זדונית מתוחכמת לגניבת מידע, שתוכננה במיוחד כדי לפגוע במערכות macOS. מטרתה העיקרית היא לחלץ מידע רגיש מדפדפנים, ארנקי מטבעות קריפטוגרפיים ורכיבי מערכת שונים. האיום מסוכן במיוחד משום שהוא משלב גניבת אישורים, מיקוד במטבעות קריפטוגרפיים ומנגנוני גישה מתמשכים בתוך קמפיין יחיד.

התוכנה הזדונית מופצת בדרך כלל באמצעות שיטות מטעות שמטעות משתמשים לבצע פקודות זדוניות בעצמם. לאחר פעילותה, SHub אוספת בשקט נתונים יקרי ערך ויכולה לשמור על גישה ארוכת טווח למכשיר הנגוע. בשל היקף המידע שהיא יכולה לאסוף, איום זה מהווה סיכונים חמורים, כולל הפסדים כספיים, גניבת זהות ופריצה לחשבון. הסרה מיידית חיונית אם SHub מתגלה במערכת.

זיהום ראשוני ואימות מערכת

תהליך ההדבקה מתחיל עם טוען שמופעל על ה-Mac של הקורבן. לפני פריסת המטען המלא של התוכנה הזדונית, טוען זה מבצע מספר בדיקות במערכת. אחת הבדיקות הבולטות ביותר כוללת בדיקת המערכת לאיתור פריסת מקלדת רוסית. אם מתגלה מקלדת כזו, התוכנה הזדונית מפסיקה את ביצועה ומדווחת על מידע זה לתוקפים.

אם שלב האימות מצליח, טוען הנתונים אוסף ומשדר פרטי מערכת בסיסיים לתשתית התוקפים. פרטים אלה כוללים את כתובת ה-IP של המכשיר, שם המארח, גרסת macOS והגדרות שפת המקלדת. מידע זה עוזר לתוקפים ליצור פרופיל של המכונה הנגועה לפני שהם ממשיכים בפעולות נוספות.

לאחר מכן, הנוזקה מורידה סקריפט במסווה של בקשת סיסמה לגיטימית עבור macOS. בקשת סיסמה מזויפת זו מבקשת, ככל הנראה, את סיסמת המערכת של המשתמש באופן שגרתי. אם הקורבן מזין את הסיסמה, התוקפים מקבלים את היכולת לפתוח את מפתחות המפתחות של macOS, אשר מאחסנים מידע רגיש ביותר כגון סיסמאות שנשמרו, אישורי Wi-Fi ומפתחות הצפנה פרטיים.

איסוף נתונים נרחב מדפדפנים וארנקים

לאחר שהגישה למערכת מאובטחת, SHub מתחיל לסרוק את המכשיר אחר נתונים יקרי ערך המאוחסנים בדפדפני אינטרנט ויישומי קריפטוגרפיים. הנוזקה מכוונת למגוון רחב של דפדפנים מבוססי Chromium, כולל Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi ו-Coccoc. היא מכוונת גם לפיירפוקס.

מדפדפנים אלה, התוכנה הזדונית מחלצת אישורים מאוחסנים, קובצי Cookie, מידע על מילוי אוטומטי ונתוני פרופיל אחרים מכל פרופילי המשתמש. התוכנה הזדונית בודקת גם הרחבות דפדפן מותקנות בחיפוש אחר הרחבות לארנקי מטבעות קריפטוגרפיים.

SHub מסוגלת לגנוב מידע מיותר ממאה ארנקי קריפטו ידועים. דוגמאות לכך כוללות את Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom ו-Trust Wallet. באמצעות גישה לתוספים אלה, תוקפים יכולים להשיג אסימוני אימות, נתוני גישה לארנק ופרטים רגישים אחרים הקשורים לחשבונות קריפטו.

מיקוד ביישומי קריפטו למחשבים שולחניים

בנוסף לארנקים מבוססי דפדפן, SHub מתמקדת במידה רבה ביישומי ארנק קריפטו למחשבים שולחניים המותקנים על המערכת. הנוזקה אוספת נתונים ממספר רב של ארנקים, כולל Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite ו-Wasabi.

נתונים רגישים המופקים מיישומים אלה עשויים לכלול פרטי גישה לארנק, מפתחות פרטיים ומידע אימות אחר. נתונים אלה יכולים לאפשר לתוקפים להשיג שליטה ישירה על אחזקות מטבעות קריפטוגרפיים.

מעבר לתוכנת ארנק, SHub אוספת גם צורות אחרות של מידע רגיש מסביבת macOS. היא מאחזרת נתונים מ-macOS Keychain, פרטי חשבון iCloud, קובצי Cookie והיסטוריית גלישה של Safari, מסדי נתונים של Apple Notes וקבצי סשן של Telegram. התוכנה הזדונית מעתיקה בנוסף את הקבצים .zsh_history, .bash_history ו-.gitconfig. קבצים אלה בעלי ערך רב במיוחד מכיוון שהם עשויים להכיל מפתחות API, אסימוני אימות או אישורי מפתח אחרים המאוחסנים בהיסטוריית פקודות או בהגדרות תצורה.

מניפולציה בארנק לצורך גניבת נתונים מתמשכת

SHub עושה יותר מאשר רק לאסוף מידע מאוחסן. היא יכולה גם לשנות יישומי ארנק קריפטו מסוימים על מנת לשמור על גניבת נתונים מתמשכת גם לאחר הפריצה הראשונית.

אם התוכנה הזדונית מזהה ארנקים כגון Atomic Wallet, Exodus, Ledger Live, Ledger Wallet או Trezor Suite, היא מחליפה רכיב מפתח באפליקציה המכונה 'app.asar' בגרסה זדונית. קובץ זה, שעבר שינוי, פועל בשקט ברקע תוך שהוא מאפשר לאפליקציית הארנק להמשיך לתפקד כרגיל מנקודת מבטו של המשתמש.

באמצעות שינוי זה, יישומי הארנק שנפרצו ממשיכים להעביר מידע רגיש לתוקפים. הנתונים הגנובים עשויים לכלול סיסמאות לארנק, ביטויי התחלה (seed code) וביטויי שחזור (recovery code). גרסאות מסוימות של התוכנה הזדונית מסוגלות להציג הנחיות שחזור מזויפות או הודעות עדכון אבטחה כדי להערים על משתמשים להזין את ביטויי ההתחלה שלהם ישירות.

יכולות התמדה ושלט רחוק

כדי לשמור על גישה ארוכת טווח למערכת שנפרצה, SHub מתקינה מנגנון דלת אחורית המאפשר לתוקפים לתקשר עם המכשיר הנגוע. התוכנה הזדונית יוצרת משימה ברקע בשם 'com.google.keystone.agent.plist'. שם זה נבחר במכוון כדי להידמות לשירות העדכונים הלגיטימי של גוגל, מה שמפחית את הסבירות לגילוי.

בכל פעם שמשימת רקע זו פועלת, היא מפעילה סקריפט נסתר ששולח את מזהה החומרה הייחודי של ה-Mac לשרת מרוחק ובודק הוראות מהתוקפים. יכולת זו מאפשרת לגורמי האיום לשלוט מרחוק במכשיר ולבצע פקודות נוספות בכל עת שצריך.

כדי להימנע מהתראות לקורבן במהלך ההתקנה, התוכנה הזדונית מציגה הודעת שגיאה מטעה המציינת שהאפליקציה אינה נתמכת. הודעה זו גורמת למשתמשים להאמין שתהליך ההתקנה נכשל, למרות שהתוכנה הזדונית כבר נפרסה בהצלחה.

הפצה באמצעות טכניקת ClickFix

שיטת ההפצה העיקרית של SHub מסתמכת על הנדסה חברתית וטכניקה המכונה ClickFix. בקמפיין זה, התוקפים יוצרים אתר אינטרנט הונאה המחקה את אתר התוכנה הלגיטימי CleanMyMac. מבקרים המאמינים שהם מורידים את האפליקציה האותנטית מקבלים במקום זאת הוראות התקנה חריגות.

במקום לקבל קובץ התקנה רגיל, המשתמשים מתבקשים לפתוח את מסוף macOS ולהדביק פקודה כדי להשלים את תהליך ההתקנה. כאשר פקודה זו מבוצעת, היא מורידה ומפעילה סקריפט מוסתר שמתקין את תוכנת הזדונית SHub.

רצף ההתקפה מתפתח בדרך כלל באופן הבא:

  • הקורבן מבקר באתר מזויף המתחזה לדף ההורדה של CleanMyMac.
  • האתר מורה למשתמש לפתוח את הטרמינל ולהדביק פקודה שסופקה כחלק מההתקנה.
  • ביצוע הפקודה מוריד ומפעיל סקריפט מוסתר שמתקין את SHub על המערכת.

מכיוון שהקורבן מבצע את השלבים הללו באופן ידני, ההתקפה יכולה לעקוף חלק מאזהרות האבטחה המסורתיות.

סיכוני אבטחה והשלכות אפשריות

SHub מהווה איום חמור על משתמשי macOS בשל יכולות איסוף הנתונים הנרחבות שלו ותכונות השמירה לטווח ארוך. לאחר ההתקנה, הוא יכול לאסוף בשקט מידע רגיש ולספק לתוקפים גישה מרחוק רציפה למכשיר שנפרץ.

קורבנות של תוכנה זדונית זו עלולים להתמודד עם מגוון השלכות, ביניהן:

  • גניבת מטבעות קריפטוגרפיים מאפליקציות ארנק שנפגעו
  • גניבת זהות כתוצאה מגינובי מידע אישי ופרטי אישורים
  • גישה בלתי מורשית לחשבונות ושירותים מקוונים
  • חשיפת סודות מפתחים כגון מפתחות API או טוקנים לאימות

בהתחשב בהיקף המידע ש-SHub יכולה לאסוף, מניעת הדבקה היא קריטית. על המשתמשים להישאר זהירים בעת הורדת תוכנה, להימנע מביצוע פקודות ממקורות לא מהימנים ולוודא שאתרי אינטרנט המציעים הורדות הם לגיטימיים. זיהוי מוקדם והסרה מיידית של התוכנה הזדונית חיוניים כדי למנוע פגיעה נוספת בנתונים.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
22,143
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...