SHub स्टीलर
SHub एक परिष्कृत मैलवेयर है जो macOS सिस्टम को हैक करने के लिए विशेष रूप से डिज़ाइन किया गया है। इसका मुख्य उद्देश्य ब्राउज़र, क्रिप्टोकरेंसी वॉलेट और विभिन्न सिस्टम घटकों से संवेदनशील जानकारी निकालना है। यह खतरा विशेष रूप से खतरनाक है क्योंकि यह एक ही अभियान में क्रेडेंशियल चोरी, क्रिप्टोकरेंसी को निशाना बनाना और लगातार एक्सेस तंत्र को जोड़ता है।
यह मैलवेयर आमतौर पर धोखे से उपयोगकर्ताओं को दुर्भावनापूर्ण कमांड चलाने के लिए प्रेरित करके फैलाया जाता है। सक्रिय होने पर, SHub चुपचाप महत्वपूर्ण डेटा एकत्र करता है और संक्रमित डिवाइस तक लंबे समय तक पहुंच बनाए रख सकता है। इसके द्वारा एकत्र की जा सकने वाली जानकारी की व्यापकता के कारण, यह खतरा वित्तीय नुकसान, पहचान की चोरी और खाता हैक होने जैसे गंभीर जोखिम पैदा करता है। यदि किसी सिस्टम पर SHub पाया जाता है, तो इसे तुरंत हटाना आवश्यक है।
विषयसूची
प्रारंभिक संक्रमण और सिस्टम सत्यापन
संक्रमण की प्रक्रिया पीड़ित के मैक पर चलने वाले एक लोडर से शुरू होती है। मैलवेयर का पूरा पेलोड भेजने से पहले, यह लोडर सिस्टम पर कई जाँचें करता है। इनमें से एक महत्वपूर्ण जाँच रूसी कीबोर्ड लेआउट की उपस्थिति की जाँच करना है। यदि ऐसा कीबोर्ड पाया जाता है, तो मैलवेयर चलना बंद कर देता है और यह जानकारी हमलावरों को भेज देता है।
यदि सत्यापन चरण सफल होता है, तो लोडर बुनियादी सिस्टम विवरण एकत्र करता है और हमलावरों के बुनियादी ढांचे को भेजता है। इन विवरणों में डिवाइस का आईपी पता, होस्टनाम, macOS संस्करण और कीबोर्ड भाषा सेटिंग्स शामिल हैं। यह जानकारी हमलावरों को आगे की कार्रवाई करने से पहले संक्रमित मशीन का प्रोफाइल बनाने में मदद करती है।
इसके बाद, मैलवेयर एक स्क्रिप्ट डाउनलोड करता है जो वैध macOS पासवर्ड प्रॉम्प्ट के रूप में छिपी होती है। यह नकली प्रॉम्प्ट सामान्य तरीके से उपयोगकर्ता का सिस्टम पासवर्ड मांगता हुआ प्रतीत होता है। यदि पीड़ित पासवर्ड दर्ज करता है, तो हमलावर macOS कीचेन को अनलॉक करने की क्षमता प्राप्त कर लेते हैं, जिसमें सहेजे गए पासवर्ड, वाई-फाई क्रेडेंशियल और निजी एन्क्रिप्शन कुंजी जैसी अत्यंत संवेदनशील जानकारी संग्रहीत होती है।
ब्राउज़र और वॉलेट से व्यापक डेटा संग्रह
सिस्टम तक पहुंच सुरक्षित हो जाने के बाद, SHub वेब ब्राउज़रों और क्रिप्टोकरेंसी एप्लिकेशन में संग्रहीत महत्वपूर्ण डेटा के लिए डिवाइस को स्कैन करना शुरू कर देता है। यह मैलवेयर आर्क, ब्रेव, क्रोम, क्रोम बीटा, क्रोम कैनरी, क्रोम डेवलपर टूल्स, क्रोमियम, एज, ओपेरा, ओपेरा जीएक्स, ओरियन, साइडकिक, विवाल्डी और कोकोक सहित क्रोमियम-आधारित ब्राउज़रों की एक विस्तृत श्रृंखला को निशाना बनाता है। यह फ़ायरफ़ॉक्स को भी निशाना बनाता है।
इन ब्राउज़रों से, मैलवेयर सभी उपयोगकर्ता प्रोफाइलों में संग्रहीत क्रेडेंशियल, कुकीज़, ऑटोफिल जानकारी और अन्य प्रोफ़ाइल डेटा निकाल लेता है। मैलवेयर क्रिप्टोकरेंसी वॉलेट एक्सटेंशन की खोज में इंस्टॉल किए गए ब्राउज़र एक्सटेंशन की भी जांच करता है।
SHub सौ से अधिक ज्ञात क्रिप्टोकरेंसी वॉलेट से जानकारी चुराने में सक्षम है। इनमें Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom और Trust Wallet जैसे उदाहरण शामिल हैं। इन एक्सटेंशन तक पहुंच बनाकर हमलावर प्रमाणीकरण टोकन, वॉलेट एक्सेस डेटा और क्रिप्टोकरेंसी खातों से जुड़ी अन्य संवेदनशील जानकारी प्राप्त कर सकते हैं।
डेस्कटॉप क्रिप्टोकरेंसी अनुप्रयोगों को लक्षित करना
ब्राउज़र-आधारित वॉलेट के अलावा, SHub मुख्य रूप से सिस्टम पर स्थापित डेस्कटॉप क्रिप्टोकरेंसी वॉलेट एप्लिकेशन पर ध्यान केंद्रित करता है। यह मैलवेयर एटॉमिक वॉलेट, बाइनेंस, बिटकॉइन कोर, ब्लूवॉलेट, कॉइनोमी, डॉगकॉइन कोर, इलेक्ट्रम, एक्सोडस, गार्डा, लेजर लाइव, लेजर वॉलेट, लाइटकॉइन कोर, मोनेरो, स्पैरो, टन कीपर, ट्रेज़र सूट और वासाबी सहित बड़ी संख्या में वॉलेट से डेटा एकत्र करता है।
इन एप्लिकेशनों से प्राप्त संवेदनशील डेटा में वॉलेट क्रेडेंशियल, निजी कुंजी और अन्य प्रमाणीकरण जानकारी शामिल हो सकती है। यह डेटा हमलावरों को क्रिप्टोकरेंसी होल्डिंग्स पर सीधा नियंत्रण हासिल करने में सक्षम बना सकता है।
वॉलेट सॉफ़्टवेयर के अलावा, SHub macOS वातावरण से अन्य प्रकार की संवेदनशील जानकारी भी एकत्र करता है। यह macOS कीचेन, iCloud खाता जानकारी, Safari कुकीज़ और ब्राउज़िंग इतिहास, Apple नोट्स डेटाबेस और Telegram सेशन फ़ाइलों से डेटा प्राप्त करता है। यह मैलवेयर .zsh_history, .bash_history और .gitconfig फ़ाइलों की कॉपी भी बनाता है। ये फ़ाइलें विशेष रूप से महत्वपूर्ण हैं क्योंकि इनमें API कुंजी, प्रमाणीकरण टोकन या कमांड इतिहास या कॉन्फ़िगरेशन सेटिंग्स में संग्रहीत अन्य डेवलपर क्रेडेंशियल हो सकते हैं।
निरंतर डेटा चोरी के लिए वॉलेट में हेरफेर
SHub केवल संग्रहित जानकारी एकत्र करने से कहीं अधिक काम करता है। यह प्रारंभिक उल्लंघन के बाद भी निरंतर डेटा चोरी जारी रखने के लिए कुछ क्रिप्टोकरेंसी वॉलेट एप्लिकेशन को संशोधित भी कर सकता है।
यदि मैलवेयर एटॉमिक वॉलेट, एक्सोडस, लेजर लाइव, लेजर वॉलेट या ट्रेज़र सूट जैसे वॉलेट का पता लगाता है, तो यह 'app.asar' नामक एक महत्वपूर्ण एप्लिकेशन घटक को एक दुर्भावनापूर्ण संस्करण से बदल देता है। यह संशोधित फ़ाइल चुपचाप पृष्ठभूमि में काम करती रहती है, जबकि उपयोगकर्ता के दृष्टिकोण से वॉलेट एप्लिकेशन सामान्य रूप से कार्य करता रहता है।
इस बदलाव के ज़रिए, प्रभावित वॉलेट एप्लिकेशन हमलावरों को संवेदनशील जानकारी भेजते रहते हैं। चुराए गए डेटा में वॉलेट पासवर्ड, सीड फ्रेज़ और रिकवरी फ्रेज़ शामिल हो सकते हैं। मैलवेयर के कुछ प्रकार नकली रिकवरी प्रॉम्प्ट या सुरक्षा अपडेट संदेश प्रदर्शित करके उपयोगकर्ताओं को सीधे अपने सीड फ्रेज़ दर्ज करने के लिए बरगलाने में सक्षम हैं।
निरंतरता और दूरस्थ नियंत्रण क्षमताएं
प्रभावित सिस्टम तक लंबे समय तक पहुंच बनाए रखने के लिए, SHub एक बैकडोर तंत्र स्थापित करता है जो हमलावरों को संक्रमित डिवाइस से संवाद करने में सक्षम बनाता है। मैलवेयर 'com.google.keystone.agent.plist' नाम से एक बैकग्राउंड टास्क बनाता है। यह नाम जानबूझकर Google की वैध अपडेट सेवा से मिलता-जुलता चुना गया है, जिससे पकड़े जाने की संभावना कम हो जाती है।
जब भी यह बैकग्राउंड टास्क चलता है, तो यह एक छिपी हुई स्क्रिप्ट लॉन्च करता है जो मैक के अद्वितीय हार्डवेयर पहचानकर्ता को एक रिमोट सर्वर पर भेजती है और हमलावरों से निर्देशों की जाँच करती है। यह क्षमता हमलावरों को डिवाइस को दूर से नियंत्रित करने और आवश्यकता पड़ने पर अतिरिक्त कमांड निष्पादित करने की अनुमति देती है।
इंस्टॉलेशन के दौरान पीड़ित को सचेत होने से बचाने के लिए, मैलवेयर एक भ्रामक त्रुटि संदेश प्रदर्शित करता है जिसमें कहा जाता है कि एप्लिकेशन समर्थित नहीं है। यह संदेश उपयोगकर्ताओं को यह विश्वास दिलाता है कि इंस्टॉलेशन प्रक्रिया विफल हो गई है, जबकि मैलवेयर पहले ही सफलतापूर्वक इंस्टॉल हो चुका होता है।
क्लिकफिक्स तकनीक के माध्यम से वितरण
SHub के प्रसार का मुख्य तरीका सोशल इंजीनियरिंग और क्लिकफिक्स नामक तकनीक पर आधारित है। इस अभियान में, हमलावर एक फर्जी वेबसाइट बनाते हैं जो असली CleanMyMac सॉफ्टवेयर साइट की नकल करती है। जो लोग असली एप्लिकेशन डाउनलोड करने का भ्रम पालते हैं, उन्हें इसके बजाय असामान्य इंस्टॉलेशन निर्देश दिखाए जाते हैं।
सामान्य इंस्टॉलर फ़ाइल प्राप्त करने के बजाय, उपयोगकर्ताओं को macOS टर्मिनल खोलने और इंस्टॉलेशन प्रक्रिया को पूरा करने के लिए एक कमांड पेस्ट करने का निर्देश दिया जाता है। जब यह कमांड निष्पादित होता है, तो यह एक गुप्त स्क्रिप्ट डाउनलोड और रन करता है जो SHub मैलवेयर को इंस्टॉल करता है।
हमले की प्रक्रिया आम तौर पर निम्नलिखित तरीके से आगे बढ़ती है:
- पीड़ित व्यक्ति क्लीनमायमैक डाउनलोड पेज की नकल करने वाली एक फर्जी वेबसाइट पर जाता है।
- साइट उपयोगकर्ता को टर्मिनल खोलने और इंस्टॉलेशन के हिस्से के रूप में दिए गए कमांड को पेस्ट करने का निर्देश देती है।
- इस कमांड को चलाने से एक हिडन स्क्रिप्ट डाउनलोड और रन होती है जो सिस्टम पर SHub इंस्टॉल करती है।
क्योंकि पीड़ित इन चरणों को मैन्युअल रूप से करता है, इसलिए हमला कुछ पारंपरिक सुरक्षा चेतावनियों को दरकिनार कर सकता है।
सुरक्षा जोखिम और संभावित परिणाम
SHub macOS उपयोगकर्ताओं के लिए एक गंभीर खतरा है क्योंकि इसमें व्यापक डेटा संग्रह क्षमता और दीर्घकालिक डेटा भंडारण की सुविधा है। एक बार इंस्टॉल होने के बाद, यह चुपचाप संवेदनशील जानकारी एकत्र कर सकता है और हमलावरों को प्रभावित डिवाइस तक निरंतर रिमोट एक्सेस प्रदान कर सकता है।
इस मैलवेयर के शिकार लोगों को कई तरह के परिणाम भुगतने पड़ सकते हैं, जिनमें शामिल हैं:
- असुरक्षित वॉलेट एप्लिकेशन से क्रिप्टोकरेंसी की चोरी
- चोरी किए गए व्यक्तिगत डेटा और क्रेडेंशियल्स के परिणामस्वरूप पहचान की चोरी
- ऑनलाइन खातों और सेवाओं तक अनधिकृत पहुंच
- API कुंजी या प्रमाणीकरण टोकन जैसे डेवलपर रहस्यों का खुलासा
SHub द्वारा एकत्रित की जा सकने वाली जानकारी की विशाल मात्रा को देखते हुए, संक्रमण से बचाव अत्यंत महत्वपूर्ण है। उपयोगकर्ताओं को सॉफ़्टवेयर डाउनलोड करते समय सतर्क रहना चाहिए, अविश्वसनीय स्रोतों से प्राप्त कमांड को निष्पादित करने से बचना चाहिए और यह सुनिश्चित करना चाहिए कि डाउनलोड प्रदान करने वाली वेबसाइटें वैध हैं। आगे डेटा के दुरुपयोग को रोकने के लिए मैलवेयर का शीघ्र पता लगाना और उसे तुरंत हटाना आवश्यक है।
