Ponuda s popustom na više licenci
Baza prijetnji Zlonamjerni softver za Mac Kradljivac SHub-a

Kradljivac SHub-a

Do Mezo. Zlonamjerni softver za Mac, kradljivci. godine
Prevedi na:

SHub je sofisticirani zlonamjerni softver za krađu informacija, posebno dizajniran za kompromitiranje macOS sustava. Njegov primarni cilj je izvlačenje osjetljivih informacija iz preglednika, kriptovaluta i raznih komponenti sustava. Prijetnja je posebno opasna jer kombinira krađu vjerodajnica, ciljanje kriptovaluta i mehanizme trajnog pristupa unutar jedne kampanje.

Zlonamjerni softver se obično distribuira prijevarnim metodama koje prevarom navode korisnike da sami izvršavaju zlonamjerne naredbe. Nakon što je aktivan, SHub tiho prikuplja vrijedne podatke i može održavati dugoročni pristup zaraženom uređaju. Zbog opsega informacija koje može prikupiti, ova prijetnja predstavlja ozbiljne rizike, uključujući financijske gubitke, krađu identiteta i kompromitiranje računa. Hitno uklanjanje je ključno ako se SHub otkrije na sustavu.

Početna infekcija i provjera sustava

Proces zaraze započinje programom za učitavanje koji se izvršava na Mac računalu žrtve. Prije implementacije punog sadržaja zlonamjernog softvera, ovaj program za učitavanje provodi nekoliko provjera na sustavu. Jedna od najznačajnijih provjera uključuje ispitivanje sustava na prisutnost ruskog rasporeda tipkovnice. Ako se otkrije takva tipkovnica, zlonamjerni softver prekida svoje izvršavanje i izvještava napadače o tim informacijama.

Ako je faza provjere uspješna, program za učitavanje prikuplja i prenosi osnovne podatke o sustavu infrastrukturi napadača. Ti podaci uključuju IP adresu uređaja, naziv hosta, verziju macOS-a i postavke jezika tipkovnice. Ove informacije pomažu napadačima da profiliraju zaraženo računalo prije nego što nastave s daljnjim radnjama.

Nakon toga, zlonamjerni softver preuzima skriptu prikrivenu kao legitimni upit za lozinku za macOS. Čini se da ovaj lažni upit rutinski traži lozinku korisnika. Ako žrtva unese lozinku, napadači dobivaju mogućnost otključavanja privjeska ključeva za macOS, koji pohranjuje vrlo osjetljive podatke poput spremljenih lozinki, Wi-Fi vjerodajnica i privatnih ključeva za šifriranje.

Opsežno prikupljanje podataka iz preglednika i novčanika

Nakon što je pristup sustavu osiguran, SHub počinje skenirati uređaj u potrazi za vrijednim podacima pohranjenim u web preglednicima i aplikacijama za kriptovalute. Zlonamjerni softver cilja širok raspon preglednika temeljenih na Chromiumu, uključujući Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi i Coccoc. Također cilja Firefox.

Iz tih preglednika, zlonamjerni softver izvlači pohranjene vjerodajnice, kolačiće, podatke za automatsko popunjavanje i ostale podatke profila u svim korisničkim profilima. Zlonamjerni softver također pregledava instalirana proširenja preglednika u potrazi za proširenjima kriptovalutnih novčanika.

SHub je sposoban ukrasti informacije iz više od stotinu poznatih kriptovaluta novčanika. Primjeri uključuju Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom i Trust Wallet. Pristupom ovim proširenjima, napadači mogu dobiti autentifikacijske tokene, podatke o pristupu novčaniku i druge osjetljive detalje vezane uz kriptovalute račune.

Ciljanje aplikacija za kriptovalute za stolna računala

Osim novčanika temeljenih na pregledniku, SHub se snažno fokusira na aplikacije za kriptovalute instalirane na sustavu za stolna računala. Zlonamjerni softver prikuplja podatke iz velikog broja novčanika, uključujući Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite i Wasabi.

Osjetljivi podaci izvučeni iz ovih aplikacija mogu uključivati vjerodajnice novčanika, privatne ključeve i druge podatke za autentifikaciju. Ovi podaci mogu omogućiti napadačima izravnu kontrolu nad kriptovalutama.

Osim softvera za novčanike, SHub također prikuplja i druge oblike osjetljivih informacija iz macOS okruženja. Dohvaća podatke iz macOS Keychaina, podatke o iCloud računu, Safari kolačiće i povijest pregledavanja, Apple Notes baze podataka i datoteke Telegram sesije. Zlonamjerni softver dodatno kopira datoteke .zsh_history, .bash_history i .gitconfig. Ove datoteke su posebno vrijedne jer mogu sadržavati API ključeve, tokene za autentifikaciju ili druge vjerodajnice programera pohranjene u povijesti naredbi ili postavkama konfiguracije.

Manipulacija novčanikom za kontinuiranu krađu podataka

SHub radi više od pukog prikupljanja pohranjenih informacija. Također može modificirati određene aplikacije kriptovalutnih novčanika kako bi održao kontinuiranu krađu podataka čak i nakon početne kompromitacije.

Ako zlonamjerni softver otkrije novčanike poput Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ili Trezor Suite, zamjenjuje ključnu komponentu aplikacije poznatu kao 'app.asar' zlonamjernom verzijom. Ova modificirana datoteka tiho radi u pozadini, a istovremeno omogućuje aplikaciji novčanika da nastavi normalno funkcionirati iz perspektive korisnika.

Ovom modifikacijom, kompromitirane aplikacije novčanika nastavljaju slati osjetljive informacije napadačima. Ukradeni podaci mogu uključivati lozinke novčanika, početne fraze i fraze za oporavak. Neke varijante zlonamjernog softvera mogu prikazivati lažne upite za oporavak ili poruke o sigurnosnim ažuriranjima kako bi prevarile korisnike da izravno unesu svoje početne fraze.

Upornost i mogućnosti daljinskog upravljanja

Kako bi održao dugoročni pristup kompromitiranom sustavu, SHub instalira mehanizam stražnjih vrata koji omogućuje napadačima komunikaciju sa zaraženim uređajem. Zlonamjerni softver stvara pozadinski zadatak pod nazivom 'com.google.keystone.agent.plist'. Ovo ime je namjerno odabrano kako bi podsjećalo na Googleovu legitimnu uslugu ažuriranja, smanjujući vjerojatnost otkrivanja.

Kad god se ovaj pozadinski zadatak pokrene, pokreće se skriveni skript koji šalje jedinstveni hardverski identifikator Maca udaljenom poslužitelju i provjerava upute od napadača. Ova mogućnost omogućuje prijetnjama daljinsko upravljanje uređajem i izvršavanje dodatnih naredbi kad god je to potrebno.

Kako bi izbjegao upozorenje žrtvi tijekom instalacije, zlonamjerni softver prikazuje obmanjujuću poruku o pogrešci u kojoj se navodi da aplikacija nije podržana. Ova poruka navodi korisnike da povjeruju da je proces instalacije neuspješan, iako je zlonamjerni softver već uspješno instaliran.

Distribucija putem ClickFix tehnike

Primarna metoda distribucije za SHub oslanja se na društveni inženjering i tehniku poznatu kao ClickFix. U ovoj kampanji napadači stvaraju lažnu web stranicu koja oponaša legitimnu stranicu softvera CleanMyMac. Posjetiteljima koji vjeruju da preuzimaju autentičnu aplikaciju umjesto toga se prikazuju neobične upute za instalaciju.

Umjesto primanja uobičajene instalacijske datoteke, korisnicima se upućuje da otvore macOS Terminal i zalijepe naredbu kako bi dovršili postupak instalacije. Kada se ova naredba izvrši, preuzima i pokreće skriveni skript koji instalira zlonamjerni softver SHub.

Slijed napada obično se odvija na sljedeći način:

  • Žrtva posjećuje lažnu web stranicu koja se lažno predstavlja kao stranica za preuzimanje CleanMyMac-a.
  • Stranica upućuje korisnika da otvori Terminal i zalijepi navedenu naredbu kao dio instalacije.
  • Izvršavanjem naredbe preuzima se i pokreće skriveni skript koji instalira SHub na sustav.

Budući da žrtva ove korake izvodi ručno, napad može zaobići neka tradicionalna sigurnosna upozorenja.

Sigurnosni rizici i potencijalne posljedice

SHub predstavlja ozbiljnu prijetnju korisnicima macOS-a zbog svojih opsežnih mogućnosti prikupljanja podataka i značajki dugoročne perzistencije. Nakon instalacije, može tiho prikupljati osjetljive informacije i napadačima omogućiti kontinuirani udaljeni pristup kompromitiranom uređaju.

Žrtve ovog zlonamjernog softvera mogu se suočiti s raznim posljedicama, uključujući:

  • Krađa kriptovaluta iz kompromitiranih aplikacija novčanika
  • Krađa identiteta uzrokovana ukradenim osobnim podacima i vjerodajnicama
  • Neovlašteni pristup online računima i uslugama
  • Otkrivanje tajni programera kao što su API ključevi ili tokeni za autentifikaciju

S obzirom na opseg informacija koje SHub može prikupiti, sprječavanje infekcije je ključno. Korisnici bi trebali ostati oprezni pri preuzimanju softvera, izbjegavati izvršavanje naredbi iz nepouzdanih izvora i provjeravati jesu li web stranice koje nude preuzimanja legitimne. Rano otkrivanje i trenutno uklanjanje zlonamjernog softvera ključni su za sprječavanje daljnjeg ugrožavanja podataka.

U trendu

Nagledanije

Učitavam...