Ladro di SHub

Entro Mezo nel Malware per Mac, Ladri

Traduci in:

SHub è un sofisticato malware per il furto di informazioni, progettato specificamente per compromettere i sistemi macOS. Il suo obiettivo principale è estrarre informazioni sensibili da browser, portafogli di criptovalute e vari componenti di sistema. La minaccia è particolarmente pericolosa perché combina furto di credenziali, attacchi alle criptovalute e meccanismi di accesso persistente all'interno di un'unica campagna.

Il malware si diffonde comunemente attraverso metodi ingannevoli che inducono gli utenti a eseguire autonomamente comandi dannosi. Una volta attivo, SHub raccoglie silenziosamente dati preziosi e può mantenere un accesso prolungato al dispositivo infetto. Data la quantità di informazioni che è in grado di raccogliere, questa minaccia comporta seri rischi, tra cui perdite finanziarie, furto di identità e compromissione degli account. La rimozione immediata è essenziale se SHub viene rilevato su un sistema.

Sommario

Infezione iniziale e verifica del sistema

Il processo di infezione inizia con un loader che viene eseguito sul Mac della vittima. Prima di distribuire il payload completo del malware, questo loader effettua diversi controlli sul sistema. Uno dei controlli più importanti consiste nell'esaminare il sistema alla ricerca di una tastiera con layout russo. Se viene rilevata una tastiera di questo tipo, il malware interrompe la sua esecuzione e comunica questa informazione agli aggressori.

Se la fase di verifica ha esito positivo, il loader raccoglie e trasmette i dettagli di base del sistema all'infrastruttura degli aggressori. Questi dettagli includono l'indirizzo IP del dispositivo, il nome host, la versione di macOS e le impostazioni della lingua della tastiera. Queste informazioni aiutano gli aggressori a profilare la macchina infetta prima di procedere con ulteriori azioni.

Successivamente, il malware scarica uno script camuffato da una legittima richiesta di password di macOS. Questa falsa richiesta sembra chiedere all'utente la password di sistema in modo del tutto normale. Se la vittima inserisce la password, gli aggressori ottengono la possibilità di sbloccare il Portachiavi di macOS, che contiene informazioni altamente sensibili come password salvate, credenziali Wi-Fi e chiavi di crittografia private.

Ampia raccolta di dati da browser e portafogli digitali

Una volta ottenuto l'accesso al sistema, SHub inizia a scansionare il dispositivo alla ricerca di dati sensibili memorizzati nei browser web e nelle applicazioni di criptovalute. Il malware prende di mira un'ampia gamma di browser basati su Chromium, tra cui Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi e Coccoc. È inoltre vulnerabile a Firefox.

Da questi browser, il malware estrae le credenziali memorizzate, i cookie, le informazioni di compilazione automatica e altri dati del profilo di tutti gli utenti. Il malware analizza anche le estensioni del browser installate alla ricerca di estensioni per portafogli di criptovalute.

SHub è in grado di rubare informazioni da oltre cento portafogli di criptovalute noti. Tra questi, Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom e Trust Wallet. Accedendo a queste estensioni, gli aggressori possono ottenere token di autenticazione, dati di accesso al portafoglio e altri dettagli sensibili associati agli account di criptovalute.

Targeting delle applicazioni desktop per criptovalute

Oltre ai wallet basati su browser, SHub si concentra principalmente sulle applicazioni desktop per wallet di criptovalute installate sul sistema. Il malware raccoglie dati da un gran numero di wallet, tra cui Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite e Wasabi.

I dati sensibili estratti da queste applicazioni possono includere le credenziali del portafoglio, le chiavi private e altre informazioni di autenticazione. Questi dati possono consentire agli aggressori di ottenere il controllo diretto sulle criptovalute possedute.

Oltre al software per portafogli digitali, SHub raccoglie anche altre informazioni sensibili dall'ambiente macOS. Recupera dati dal Portachiavi macOS, informazioni sull'account iCloud, cookie e cronologia di navigazione di Safari, database di Apple Notes e file di sessione di Telegram. Il malware copia inoltre i file .zsh_history, .bash_history e .gitconfig. Questi file sono particolarmente preziosi perché possono contenere chiavi API, token di autenticazione o altre credenziali di sviluppatore memorizzate nella cronologia dei comandi o nelle impostazioni di configurazione.

Manipolazione del portafoglio per furto di dati in corso

SHub non si limita a raccogliere informazioni memorizzate. Può anche modificare determinate applicazioni di portafogli di criptovalute al fine di continuare il furto di dati anche dopo la compromissione iniziale.

Se il malware rileva portafogli come Atomic Wallet, Exodus, Ledger Live, Ledger Wallet o Trezor Suite, sostituisce un componente chiave dell'applicazione, noto come 'app.asar', con una versione dannosa. Questo file modificato opera silenziosamente in background, consentendo all'applicazione del portafoglio di continuare a funzionare normalmente dal punto di vista dell'utente.

Attraverso questa modifica, le applicazioni del portafoglio compromesse continuano a trasmettere informazioni sensibili agli aggressori. I dati rubati possono includere password del portafoglio, frasi di recupero e frasi di recupero. Alcune varianti del malware sono in grado di visualizzare falsi messaggi di richiesta di recupero o di aggiornamento della sicurezza per indurre gli utenti a inserire direttamente le proprie frasi di recupero.

Capacità di persistenza e controllo remoto

Per mantenere un accesso a lungo termine al sistema compromesso, SHub installa un meccanismo backdoor che consente agli aggressori di comunicare con il dispositivo infetto. Il malware crea un'attività in background denominata "com.google.keystone.agent.plist". Questo nome è stato scelto intenzionalmente per assomigliare al servizio di aggiornamento legittimo di Google, riducendo la probabilità di rilevamento.

Ogni volta che viene eseguita questa attività in background, viene avviato uno script nascosto che invia l'identificativo hardware univoco del Mac a un server remoto e verifica la presenza di istruzioni da parte degli aggressori. Questa funzionalità consente ai malintenzionati di controllare il dispositivo da remoto ed eseguire comandi aggiuntivi ogni qualvolta sia necessario.

Per evitare di allertare la vittima durante l'installazione, il malware visualizza un messaggio di errore ingannevole che afferma che l'applicazione non è supportata. Questo messaggio induce gli utenti a credere che il processo di installazione sia fallito, anche se il malware è già stato distribuito con successo.

Distribuzione tramite la tecnica ClickFix

Il principale metodo di distribuzione di SHub si basa sull'ingegneria sociale e su una tecnica nota come ClickFix. In questa campagna, gli aggressori creano un sito web fraudolento che imita il sito ufficiale del software CleanMyMac. I visitatori, convinti di scaricare l'applicazione autentica, si ritrovano invece di fronte a istruzioni di installazione insolite.

Anziché ricevere un normale file di installazione, agli utenti viene richiesto di aprire il Terminale di macOS e incollare un comando per completare il processo di installazione. Quando questo comando viene eseguito, scarica ed esegue uno script nascosto che installa il malware SHub.

La sequenza dell'attacco si svolge in genere nel seguente modo:

La vittima visita un sito web falso che imita la pagina di download di CleanMyMac.
Il sito indica all'utente di aprire il Terminale e incollare un comando fornito come parte della procedura di installazione.
L'esecuzione del comando scarica ed esegue uno script nascosto che installa SHub sul sistema.

Poiché la vittima esegue questi passaggi manualmente, l'attacco può eludere alcuni avvisi di sicurezza tradizionali.

Rischi per la sicurezza e potenziali conseguenze

SHub rappresenta una seria minaccia per gli utenti macOS a causa delle sue ampie capacità di raccolta dati e della sua persistenza a lungo termine. Una volta installato, può raccogliere silenziosamente informazioni sensibili e fornire agli aggressori un accesso remoto continuo al dispositivo compromesso.

Le vittime di questo malware potrebbero subire diverse conseguenze, tra cui:

Furto di criptovalute tramite applicazioni di portafoglio compromesse

Furto di identità derivante dal furto di dati personali e credenziali

Accesso non autorizzato ad account e servizi online

Esposizione di segreti degli sviluppatori, come chiavi API o token di autenticazione.

Considerata la quantità di informazioni che SHub è in grado di raccogliere, prevenire l'infezione è fondamentale. Gli utenti devono prestare attenzione durante il download di software, evitare di eseguire comandi provenienti da fonti non attendibili e verificare che i siti web che offrono download siano legittimi. L'individuazione precoce e la rimozione immediata del malware sono essenziali per prevenire ulteriori compromissioni dei dati.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione

Ladro di SHub

Infezione iniziale e verifica del sistema

Ampia raccolta di dati da browser e portafogli digitali

Targeting delle applicazioni desktop per criptovalute

Manipolazione del portafoglio per furto di dati in corso

Capacità di persistenza e controllo remoto

Distribuzione tramite la tecnica ClickFix

Rischi per la sicurezza e potenziali conseguenze

Invia commento

Tendenza

Zareus ransomware

Bspojzo ransomware

Precludestore.com

I più visti

Come correggere l'errore "Driver della stampante non...

Come risolvere "macOS non può verificare che questa...

Discord mostra lo schermo nero durante la...