Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė „Mac“ kenkėjiška programa SHub vagis

SHub vagis

Autorius Mezo, „Mac“ kenkėjiška programa, Vogtininkai
Versti į:

„SHub“ yra sudėtinga informaciją vagianti kenkėjiška programa, specialiai sukurta įsilaužti į „macOS“ sistemas. Jos pagrindinis tikslas – išgauti neskelbtiną informaciją iš naršyklių, kriptovaliutų piniginių ir įvairių sistemos komponentų. Ši grėsmė yra ypač pavojinga, nes vienoje kampanijoje ji apjungia kredencialų vagystę, kriptovaliutų taikymąsi ir nuolatinės prieigos mechanizmus.

Kenkėjiška programa dažniausiai platinama apgaulingais metodais, kurie apgauna vartotojus, kad jie patys vykdytų kenkėjiškas komandas. Kai programa tampa aktyvi, „SHub“ tyliai renka vertingus duomenis ir gali ilgalaikėje perspektyvoje pasiekti užkrėstą įrenginį. Dėl surinktos informacijos apimties ši grėsmė kelia rimtą pavojų, įskaitant finansinius nuostolius, tapatybės vagystę ir paskyros pažeidimą. Jei sistemoje aptinkama „SHub“, ją būtina nedelsiant pašalinti.

Pradinis užkrėtimas ir sistemos patikrinimas

Užkrėtimo procesas prasideda nuo aukos „Mac“ kompiuteryje paleidžiamo įkrovos programos. Prieš paleidžiant visą kenkėjiškos programos paketą, ši įkrovos programa atlieka kelis sistemos patikrinimus. Vienas iš svarbiausių patikrinimų yra sistemos patikrinimas, ar nėra rusiško klaviatūros išdėstymo. Jei tokia klaviatūra aptinkama, kenkėjiška programa nutraukia savo vykdymą ir praneša šią informaciją užpuolikams.

Jei patvirtinimo etapas sėkmingas, įkėlėjas surenka ir perduoda pagrindinius sistemos duomenis užpuolikų infrastruktūrai. Šie duomenys apima įrenginio IP adresą, pagrindinio kompiuterio pavadinimą, „macOS“ versiją ir klaviatūros kalbos nustatymus. Ši informacija padeda užpuolikams apibūdinti užkrėstą kompiuterį prieš atliekant tolesnius veiksmus.

Vėliau kenkėjiška programa atsisiunčia scenarijų, užmaskuotą kaip teisėtas „macOS“ slaptažodžio užklausa. Šis netikras užklausimas, regis, įprastu būdu prašo vartotojo sistemos slaptažodžio. Jei auka įveda slaptažodį, užpuolikai gauna galimybę atrakinti „macOS Keychain“, kuriame saugoma itin slapta informacija, pvz., išsaugoti slaptažodžiai, „Wi-Fi“ prisijungimo duomenys ir privatūs šifravimo raktai.

Platus duomenų rinkimas iš naršyklių ir piniginių

Kai prieiga prie sistemos apsaugota, „SHub“ pradeda nuskaityti įrenginį, ieškodama vertingų duomenų, saugomų interneto naršyklėse ir kriptovaliutų programose. Kenkėjiška programa taikosi į įvairias „Chromium“ pagrindu veikiančias naršykles, įskaitant „Arc“, „Brave“, „Chrome“, „Chrome Beta“, „Chrome Canary“, „Chrome DevTools“, „Chromium“, „Edge“, „Opera“, „Opera GX“, „Orion“, „Sidekick“, „Vivaldi“ ir „Coccoc“. Ji taip pat taikosi į „Firefox“.

Iš šių naršyklių kenkėjiška programa išgauna saugomus prisijungimo duomenis, slapukus, automatinio pildymo informaciją ir kitus profilio duomenis iš visų naudotojų profilių. Kenkėjiška programa taip pat tikrina įdiegtus naršyklės plėtinius, ieškodama kriptovaliutų piniginės plėtinių.

„SHub“ gali pavogti informaciją iš daugiau nei šimto žinomų kriptovaliutų piniginių. Pavyzdžiui, „Coinbase Wallet“, „Exodus Web3“, „Keplr“, „MetaMask“, „Phantom“ ir „Trust Wallet“. Pasiekę šiuos plėtinius, užpuolikai gali gauti autentifikavimo žetonus, piniginės prieigos duomenis ir kitą slaptą informaciją, susietą su kriptovaliutų sąskaitomis.

Orientacija į darbalaukio kriptovaliutų programas

Be naršyklėje veikiančių piniginių, „SHub“ daugiausia dėmesio skiria sistemoje įdiegtoms kriptovaliutų piniginių programoms, skirtoms kompiuteriams. Kenkėjiška programa renka duomenis iš daugybės piniginių, įskaitant „Atomic Wallet“, „Binance“, „Bitcoin Core“, „BlueWallet“, „Coinomi“, „Dogecoin Core“, „Electrum“, „Exodus“, „Guarda“, „Ledger Live“, „Ledger Wallet“, „Litecoin Core“, „Monero“, „Sparrow“, „TON Keeper“, „Trezor Suite“ ir „Wasabi“.

Iš šių programų išgauti jautrūs duomenys gali apimti piniginės prisijungimo duomenis, privačius raktus ir kitą autentifikavimo informaciją. Šie duomenys gali leisti užpuolikams tiesiogiai kontroliuoti kriptovaliutų turtą.

Be piniginės programinės įrangos, „SHub“ taip pat renka kitokią neskelbtiną informaciją iš „macOS“ aplinkos. Ji nuskaito duomenis iš „macOS Keychain“, „iCloud“ paskyros informacijos, „Safari“ slapukų ir naršymo istorijos, „Apple Notes“ duomenų bazių ir „Telegram“ sesijos failų. Kenkėjiška programa taip pat nukopijuoja failus .zsh_history, .bash_history ir .gitconfig. Šie failai yra ypač vertingi, nes juose gali būti API raktų, autentifikavimo žetonų ar kitų kūrėjo prisijungimo duomenų, saugomų komandų istorijoje arba konfigūracijos nustatymuose.

Piniginės manipuliavimas nuolatiniam duomenų vagystės būdui

„SHub“ ne tik renka saugomą informaciją. Ji taip pat gali modifikuoti tam tikras kriptovaliutų piniginių programas, kad būtų galima nuolat vogti duomenis net ir po pradinio įsilaužimo.

Jei kenkėjiška programa aptinka tokias pinigines kaip „Atomic Wallet“, „Exodus“, „Ledger Live“, „Ledger Wallet“ arba „Trezor Suite“, ji pakeičia pagrindinį programos komponentą, vadinamą „app.asar“, kenkėjiška versija. Šis modifikuotas failas tyliai veikia fone, leisdamas piniginės programai toliau normaliai veikti vartotojo požiūriu.

Dėl šios modifikacijos pažeistos piniginės programos ir toliau perduoda neskelbtiną informaciją užpuolikams. Pavogti duomenys gali apimti piniginės slaptažodžius, pirmines frazes ir atkūrimo frazes. Kai kurie kenkėjiškos programos variantai gali rodyti netikrus atkūrimo raginimus arba saugos atnaujinimo pranešimus, kad apgautų vartotojus ir priverstų juos tiesiogiai įvesti savo pirmines frazes.

Nuolatinis valdymas ir nuotolinio valdymo galimybės

Siekdama išlaikyti ilgalaikę prieigą prie pažeistos sistemos, „SHub“ įdiegia užpakalinių durų mechanizmą, leidžiantį užpuolikams bendrauti su užkrėstu įrenginiu. Kenkėjiška programa sukuria foninę užduotį pavadinimu „com.google.keystone.agent.plist“. Šis pavadinimas sąmoningai pasirinktas taip, kad primintų teisėtą „Google“ atnaujinimų paslaugą, taip sumažinant aptikimo tikimybę.

Kai ši foninė užduotis vykdoma, paleidžiamas paslėptas scenarijus, kuris siunčia unikalų „Mac“ aparatinės įrangos identifikatorių į nuotolinį serverį ir tikrina, ar nėra užpuolikų nurodymų. Ši galimybė leidžia grėsmių kūrėjams nuotoliniu būdu valdyti įrenginį ir vykdyti papildomas komandas, kai tik to reikia.

Kad auka nebūtų įspėta diegimo metu, kenkėjiška programa rodo apgaulingą klaidos pranešimą, kuriame teigiama, kad programa nepalaikoma. Šis pranešimas verčia vartotojus manyti, kad diegimo procesas nepavyko, nors kenkėjiška programa jau buvo sėkmingai įdiegta.

Platinimas naudojant „ClickFix“ techniką

Pagrindinis „SHub“ platinimo metodas remiasi socialine inžinerija ir technika, žinoma kaip „ClickFix“. Šios kampanijos metu užpuolikai sukuria apgaulingą svetainę, kuri imituoja teisėtą „CleanMyMac“ programinės įrangos svetainę. Lankytojams, kurie mano, kad atsisiunčia autentišką programą, pateikiamos neįprastos diegimo instrukcijos.

Užuot gavę įprastą diegimo failą, vartotojams nurodoma atidaryti „macOS“ terminalą ir įklijuoti komandą, kad užbaigtų diegimo procesą. Kai ši komanda vykdoma, atsisiunčiamas ir paleidžiamas paslėptas scenarijus, kuris įdiegia „SHub“ kenkėjišką programą.

Atakos seka paprastai vyksta taip:

  • Auka apsilanko netikrą svetainę, kuri apsimeta „CleanMyMac“ atsisiuntimo puslapiu.
  • Svetainėje nurodoma vartotojui atidaryti terminalą ir įklijuoti pateiktą komandą kaip diegimo dalį.
  • Vykdant komandą, atsisiunčiamas ir paleidžiamas paslėptas scenarijus, kuris sistemoje įdiegia „SHub“.

Kadangi auka šiuos veiksmus atlieka rankiniu būdu, ataka gali apeiti kai kuriuos tradicinius saugumo įspėjimus.

Saugumo rizika ir galimos pasekmės

„SHub“ kelia rimtą grėsmę „macOS“ naudotojams dėl savo plačių duomenų rinkimo galimybių ir ilgalaikio duomenų saugojimo funkcijų. Įdiegus, jis gali tyliai rinkti neskelbtiną informaciją ir suteikti užpuolikams nuolatinę nuotolinę prieigą prie pažeisto įrenginio.

Šios kenkėjiškos programos aukos gali susidurti su įvairiomis pasekmėmis, įskaitant:

  • Kriptovaliutų vagystė iš pažeistų piniginės programų
  • Tapatybės vagystė dėl pavogtų asmens duomenų ir prisijungimo duomenų
  • Neteisėta prieiga prie internetinių paskyrų ir paslaugų
  • Kūrėjų paslapčių, tokių kaip API raktai ar autentifikavimo žetonai, atskleidimas

Atsižvelgiant į informacijos, kurią gali surinkti „SHub“, apimtį, labai svarbu užkirsti kelią infekcijoms. Vartotojai turėtų būti atsargūs atsisiųsdami programinę įrangą, vengti vykdyti komandas iš nepatikimų šaltinių ir patikrinti, ar svetainės, siūlančios atsisiuntimus, yra teisėtos. Ankstyvas kenkėjiškų programų aptikimas ir neatidėliotinas pašalinimas yra būtini siekiant užkirsti kelią tolesniam duomenų pažeidimui.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
22,143
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...