SHub tolvaj

Mezo -ra Mac Malware, Lopók-ben

Fordítás ide:

Az SHub egy kifinomult, információkat ellopó kártevő, amelyet kifejezetten a macOS rendszerek feltörésére terveztek. Elsődleges célja érzékeny információk kinyerése böngészőkből, kriptovaluta-tárcákból és különféle rendszerösszetevőkből. A fenyegetés különösen veszélyes, mivel egyetlen kampányon belül ötvözi a hitelesítő adatok ellopását, a kriptovaluta-célzást és az állandó hozzáférési mechanizmusokat.

A rosszindulatú programot általában megtévesztő módszerekkel terjesztik, amelyek ráveszik a felhasználókat, hogy maguk hajtsanak végre rosszindulatú parancsokat. Aktiválás után az SHub csendben értékes adatokat gyűjt, és hosszú távon hozzáférhet a fertőzött eszközhöz. A begyűjthető információk mennyisége miatt ez a fenyegetés komoly kockázatokat jelent, beleértve a pénzügyi veszteségeket, az identitáslopást és a fiókok feltörését. Azonnali eltávolítása elengedhetetlen, ha az SHub-ot felfedezik egy rendszeren.

Tartalomjegyzék

Kezdeti fertőzés és rendszerellenőrzés

A fertőzési folyamat egy betöltővel kezdődik, amely az áldozat Mac számítógépén fut. A teljes kártevő-tartalom telepítése előtt a betöltő számos ellenőrzést végez a rendszeren. Az egyik legfigyelemreméltóbb ellenőrzés az orosz billentyűzetkiosztás jelenlétének vizsgálata a rendszerben. Ha ilyen billentyűzetet észlel, a kártevő leállítja a végrehajtást, és jelenti ezt az információt a támadóknak.

Ha az ellenőrzési szakasz sikeres, a betöltő alapvető rendszeradatokat gyűjt és továbbít a támadók infrastruktúrájának. Ezek az adatok tartalmazzák az eszköz IP-címét, hostnevét, macOS verzióját és a billentyűzet nyelvi beállításait. Ez az információ segít a támadóknak a fertőzött gép profiljának felépítésében, mielőtt további lépéseket tennének.

Ezután a rosszindulatú program letölt egy legitim macOS jelszókérőnek álcázott szkriptet. Ez a hamis kérés látszólag rutinszerűen kéri a felhasználó rendszerjelszavát. Ha az áldozat beírja a jelszót, a támadók feloldhatják a macOS kulcstartót, amely olyan rendkívül érzékeny információkat tárol, mint a mentett jelszavak, Wi-Fi hitelesítő adatok és privát titkosítási kulcsok.

Kiterjedt adatgyűjtés böngészőkből és pénztárcákból

Miután a rendszerhez való hozzáférés biztosított, az SHub megkezdi az eszköz szkennelését a webböngészőkben és kriptovaluta-alkalmazásokban tárolt értékes adatok után kutatva. A rosszindulatú program számos Chromium-alapú böngészőt céloz meg, beleértve az Arc-ot, a Brave-et, a Chrome-ot, a Chrome Beta-t, a Chrome Canary-t, a Chrome DevTools-t, a Chromium-ot, az Edge-et, az Operát, az Opera GX-et, az Orion-t, a Sidekick-et, a Vivaldi-t és a Coccoc-ot. A Firefoxot is célba veszi.

Ezekből a böngészőkből a rosszindulatú program kinyeri a tárolt hitelesítő adatokat, sütiket, automatikus kitöltési információkat és egyéb profiladatokat az összes felhasználói profilból. A rosszindulatú program a telepített böngészőbővítményeket is megvizsgálja kriptovaluta-tárcabővítmények keresése céljából.

Az SHub több mint száz ismert kriptovaluta-tárcából képes információkat ellopni. Ilyenek például a Coinbase Wallet, az Exodus Web3, a Keplr, a MetaMask, a Phantom és a Trust Wallet. Ezen bővítmények elérésével a támadók hitelesítési tokeneket, tárca-hozzáférési adatokat és más, kriptovaluta-számlákhoz kapcsolódó érzékeny adatokat szerezhetnek meg.

Asztali kriptovaluta-alkalmazások célzása

A böngészőalapú tárcák mellett az SHub nagy hangsúlyt fektet a rendszerre telepített asztali kriptovaluta-tárcaalkalmazásokra. A rosszindulatú program számos tárcából gyűjt adatokat, beleértve az Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite és Wasabi tárcákat.

Az ezekből az alkalmazásokból kinyert érzékeny adatok tartalmazhatnak pénztárca-hitelesítő adatokat, privát kulcsokat és egyéb hitelesítési információkat. Ezek az adatok lehetővé tehetik a támadók számára, hogy közvetlen irányítást szerezzenek a kriptovaluta-állományok felett.

A tárcaszoftvereken túl az SHub más típusú érzékeny információkat is gyűjt a macOS környezetből. Adatokat kér le a macOS kulcstartóból, iCloud fiókadatokból, Safari sütikből és böngészési előzményekből, Apple Notes adatbázisokból és Telegram munkamenetfájlokból. A rosszindulatú program emellett a .zsh_history, .bash_history és .gitconfig fájlokat is átmásolja. Ezek a fájlok különösen értékesek, mivel API-kulcsokat, hitelesítési tokeneket vagy más fejlesztői hitelesítő adatokat tartalmazhatnak, amelyeket a parancselőzményekben vagy a konfigurációs beállításokban tárolnak.

Pénztárca-manipuláció a folyamatos adatlopáshoz

Az SHub nem pusztán gyűjti a tárolt információkat, hanem módosíthat bizonyos kriptovaluta-tárcaalkalmazásokat is, hogy a kezdeti kompromittálás után is folyamatos adatlopást biztosítson.

Ha a rosszindulatú program olyan tárcákat észlel, mint az Atomic Wallet, Exodus, Ledger Live, Ledger Wallet vagy Trezor Suite, akkor egy kulcsfontosságú alkalmazáskomponenst, az „app.asar”-t egy rosszindulatú verzióval cseréli le. Ez a módosított fájl csendben fut a háttérben, miközben lehetővé teszi, hogy a tárcaalkalmazás a felhasználó szemszögéből továbbra is normálisan működjön.

Ezzel a módosítással a feltört pénztárcaalkalmazások továbbra is bizalmas információkat továbbítanak a támadóknak. Az ellopott adatok tartalmazhatnak pénztárcajelszavakat, kezdőkódokat és helyreállítási kifejezéseket. A rosszindulatú program egyes változatai képesek hamis helyreállítási utasításokat vagy biztonsági frissítési üzeneteket megjeleníteni, hogy rávegyék a felhasználókat, hogy közvetlenül adják meg a kezdőkódjukat.

Kitartás és távirányítási képességek

A feltört rendszerhez való hosszú távú hozzáférés fenntartása érdekében az SHub egy hátsó ajtó mechanizmust telepít, amely lehetővé teszi a támadók számára, hogy kommunikáljanak a fertőzött eszközzel. A rosszindulatú program létrehoz egy „com.google.keystone.agent.plist” nevű háttérfeladatot. Ez a név szándékosan hasonlít a Google legitim frissítési szolgáltatására, csökkentve az észlelés valószínűségét.

Amikor ez a háttérfeladat fut, elindít egy rejtett szkriptet, amely elküldi a Mac egyedi hardverazonosítóját egy távoli szervernek, és ellenőrzi a támadóktól érkező utasításokat. Ez a képesség lehetővé teszi a fenyegetések feltevői számára, hogy távolról vezéreljék az eszközt, és szükség esetén további parancsokat hajtsanak végre.

A telepítés során a kártevő elkerüli az áldozat figyelmeztetését, ezért egy megtévesztő hibaüzenetet jelenít meg, amely szerint az alkalmazás nem támogatott. Ez az üzenet azt a benyomást kelti a felhasználókban, hogy a telepítési folyamat sikertelen volt, annak ellenére, hogy a kártevő már sikeresen települt.

Terjesztés a ClickFix technikával

Az SHub elsődleges terjesztési módszere a társadalmi manipuláció és a ClickFix néven ismert technika. Ebben a kampányban a támadók egy csaló weboldalt hoznak létre, amely a legitim CleanMyMac szoftveroldalt utánozza. Azok a látogatók, akik azt hiszik, hogy a hiteles alkalmazást töltik le, ehelyett szokatlan telepítési utasításokat kapnak.

A szokásos telepítőfájl helyett a felhasználókat arra utasítják, hogy nyissák meg a macOS Terminált, és illesszenek be egy parancsot a telepítési folyamat befejezéséhez. A parancs végrehajtásakor letölt és lefuttat egy rejtett szkriptet, amely telepíti az SHub rosszindulatú programot.

A támadási sorozat jellemzően a következőképpen alakul:

Az áldozat egy hamis weboldalt látogat meg, amely a CleanMyMac letöltőoldalának adja ki magát.
A webhely arra utasítja a felhasználót, hogy nyissa meg a Terminált, és illessze be a megadott parancsot a telepítés részeként.
A parancs végrehajtása letölt és lefuttat egy rejtett szkriptet, amely telepíti az SHub-ot a rendszerre.

Mivel az áldozat manuálisan hajtja végre ezeket a lépéseket, a támadás megkerülhet néhány hagyományos biztonsági figyelmeztetést.

Biztonsági kockázatok és lehetséges következmények

Az SHub komoly fenyegetést jelent a macOS felhasználók számára kiterjedt adatgyűjtési képességei és hosszú távú adatmegőrzési funkciói miatt. Telepítés után csendben képes érzékeny információkat gyűjteni, és folyamatos távoli hozzáférést biztosít a támadóknak a feltört eszközhöz.

A kártevő áldozatai számos következménnyel szembesülhetnek, beleértve:

Kriptovaluta-lopás feltört pénztárca-alkalmazásokból

Személyazonosság-lopás ellopott személyes adatok és hitelesítő adatok miatt

Jogosulatlan hozzáférés online fiókokhoz és szolgáltatásokhoz

Fejlesztői titkok, például API-kulcsok vagy hitelesítési tokenek nyilvánosságra hozatala

Tekintettel az SHub által gyűjthető információk mennyiségére, a fertőzés megelőzése kritikus fontosságú. A felhasználóknak óvatosnak kell lenniük szoftverek letöltésekor, kerülniük kell a megbízhatatlan forrásokból származó parancsok végrehajtását, és ellenőrizniük kell, hogy a letöltéseket kínáló webhelyek legitimitottak-e. A rosszindulatú programok korai észlelése és azonnali eltávolítása elengedhetetlen a további adatszivárgás megelőzése érdekében.

Az EnigmaSoft fizetési processzora, a Digital River GmbH csődbejelentése nem befolyásolja a SpyHunter ügyfelek rosszindulatú programok elleni védelmét

Keresés

Régió módosítása

SHub tolvaj

Kezdeti fertőzés és rendszerellenőrzés

Kiterjedt adatgyűjtés böngészőkből és pénztárcákból

Asztali kriptovaluta-alkalmazások célzása

Pénztárca-manipuláció a folyamatos adatlopáshoz

Kitartás és távirányítási képességek

Terjesztés a ClickFix technikával

Biztonsági kockázatok és lehetséges következmények

Küldje el megjegyzését

Felkapott

Zareus Ransomware

Bspojzo Ransomware

Precludestore.com

Legnézettebb

Eporner.com

XHAMSTER Ransomware

Rosszindulatú