Vairāku licenču atlaides piedāvājums
Draudu datu bāze Mac ļaunprātīga programmatūra SHub zaglis

SHub zaglis

Līdz Mezo. gadam Mac ļaunprātīga programmatūra, Zagļi. gadā
Tulkot uz:

SHub ir sarežģīta informācijas zādzības ļaunprogrammatūra, kas īpaši izstrādāta macOS sistēmu apdraudēšanai. Tās galvenais mērķis ir iegūt sensitīvu informāciju no pārlūkprogrammām, kriptovalūtu makiem un dažādām sistēmas komponentēm. Šis apdraudējums ir īpaši bīstams, jo vienā kampaņā apvieno akreditācijas datu zādzību, kriptovalūtu mērķēšanu un pastāvīgas piekļuves mehānismus.

Ļaunprogrammatūra parasti tiek izplatīta, izmantojot maldinošas metodes, kas maldina lietotājus, liekot pašiem izpildīt ļaunprātīgas komandas. Kad tā ir aktīva, SHub nemanāmi apkopo vērtīgus datus un var ilgtermiņā saglabāt piekļuvi inficētajai ierīcei. Ņemot vērā apkopotās informācijas apjomu, šis apdraudējums rada nopietnus riskus, tostarp finansiālus zaudējumus, identitātes zādzību un konta kompromitēšanu. Ja SHub tiek atklāts sistēmā, tā ir nekavējoties jānoņem.

Sākotnējā inficēšana un sistēmas verifikācija

Infekcijas process sākas ar ielādētāju, kas tiek palaists upura Mac datorā. Pirms pilnas ļaunprogrammatūras vērtuma izvietošanas šis ielādētājs veic vairākas sistēmas pārbaudes. Viena no ievērojamākajām pārbaudēm ir sistēmas pārbaude, vai nav krievu tastatūras izkārtojuma. Ja šāda tastatūra tiek atklāta, ļaunprogrammatūra pārtrauc savu izpildi un ziņo par šo informāciju uzbrucējiem.

Ja verifikācijas posms ir veiksmīgs, ielādētājs apkopo un nosūta uzbrucēju infrastruktūrai pamatinformāciju par sistēmu. Šī informācija ietver ierīces IP adresi, resursdatora nosaukumu, macOS versiju un tastatūras valodas iestatījumus. Šī informācija palīdz uzbrucējiem profilēt inficēto ierīci pirms turpmāku darbību veikšanas.

Pēc tam ļaunprogrammatūra lejādē skriptu, kas maskēts kā likumīga macOS paroles uzvedne. Šī viltus uzvedne, šķiet, ikdienišķi pieprasa lietotāja sistēmas paroli. Ja upuris ievada paroli, uzbrucēji iegūst iespēju atbloķēt macOS atslēgu piekariņu, kurā tiek glabāta ļoti sensitīva informācija, piemēram, saglabātās paroles, Wi-Fi akreditācijas dati un privātās šifrēšanas atslēgas.

Plaša datu vākšana no pārlūkprogrammām un makiem

Kad piekļuve sistēmai ir nodrošināta, SHub sāk skenēt ierīci, meklējot vērtīgus datus, kas glabājas tīmekļa pārlūkprogrammās un kriptovalūtas lietojumprogrammās. Ļaunprogrammatūra ir vērsta pret plašu Chromium pārlūkprogrammu klāstu, tostarp Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi un Coccoc. Tā ir vērsta arī pret Firefox.

No šīm pārlūkprogrammām ļaunprogrammatūra izgūst saglabātos akreditācijas datus, sīkfailus, automātiskās aizpildes informāciju un citus profila datus no visiem lietotāju profiliem. Ļaunprogrammatūra arī pārbauda instalētos pārlūkprogrammas paplašinājumus, meklējot kriptovalūtas maka paplašinājumus.

SHub spēj nozagt informāciju no vairāk nekā simts zināmiem kriptovalūtu makiem. Piemēri ir Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom un Trust Wallet. Piekļūstot šiem paplašinājumiem, uzbrucēji var iegūt autentifikācijas žetonus, maka piekļuves datus un citu sensitīvu informāciju, kas saistīta ar kriptovalūtu kontiem.

Orientēšanās uz darbvirsmas kriptovalūtu lietojumprogrammām

Papildus pārlūkprogrammā balstītiem makiem SHub galveno uzmanību pievērš sistēmā instalētajām kriptovalūtas maku lietojumprogrammām galddatoriem. Ļaunprogrammatūra apkopo datus no liela skaita maku, tostarp Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite un Wasabi.

No šīm lietojumprogrammām iegūtie sensitīvi dati var ietvert maka akreditācijas datus, privātās atslēgas un citu autentifikācijas informāciju. Šie dati var ļaut uzbrucējiem iegūt tiešu kontroli pār kriptovalūtu krātuvēm.

Papildus maka programmatūrai SHub no macOS vides ievāc arī cita veida sensitīvu informāciju. Tas izgūst datus no macOS atslēgu piekariņa, iCloud konta informāciju, Safari sīkfailiem un pārlūkošanas vēsturi, Apple Notes datubāzēm un Telegram sesijas failiem. Ļaunprogrammatūra papildus kopē failus .zsh_history, .bash_history un .gitconfig. Šie faili ir īpaši vērtīgi, jo tie var saturēt API atslēgas, autentifikācijas žetonus vai citus izstrādātāja akreditācijas datus, kas saglabāti komandu vēsturē vai konfigurācijas iestatījumos.

Maka manipulācijas pastāvīgai datu zādzībai

SHub ne tikai vāc saglabāto informāciju, bet arī var modificēt noteiktas kriptovalūtas maku lietojumprogrammas, lai saglabātu nepārtrauktu datu zādzību pat pēc sākotnējās kompromitēšanas.

Ja ļaunprogrammatūra atrod tādus makus kā Atomic Wallet, Exodus, Ledger Live, Ledger Wallet vai Trezor Suite, tā aizstāj galveno lietojumprogrammas komponentu, kas pazīstams kā “app.asar”, ar ļaunprātīgu versiju. Šis modificētais fails darbojas klusi fonā, ļaujot maka lietojumprogrammai turpināt normālu darbību no lietotāja perspektīvas.

Pateicoties šai modifikācijai, apdraudētās maka lietojumprogrammas turpina pārsūtīt sensitīvu informāciju uzbrucējiem. Nozagtie dati var ietvert maka paroles, sākuma frāzes un atkopšanas frāzes. Daži ļaunprogrammatūras varianti spēj parādīt viltotus atkopšanas uzvednes vai drošības atjauninājumu ziņojumus, lai maldinātu lietotājus ievadīt savas sākuma frāzes tieši.

Noturība un tālvadības iespējas

Lai ilgtermiņā saglabātu piekļuvi apdraudētajai sistēmai, SHub instalē aizmugurējo durvju mehānismu, kas ļauj uzbrucējiem sazināties ar inficēto ierīci. Ļaunprogrammatūra izveido fona uzdevumu ar nosaukumu “com.google.keystone.agent.plist”. Šis nosaukums ir apzināti izvēlēts, lai tas atgādinātu Google likumīgo atjauninājumu pakalpojumu, tādējādi samazinot atklāšanas iespējamību.

Ikreiz, kad šis fona uzdevums tiek palaists, tas palaiž slēptu skriptu, kas nosūta Mac unikālo aparatūras identifikatoru uz attālo serveri un pārbauda uzbrucēju norādījumus. Šī iespēja ļauj apdraudējuma dalībniekiem attālināti vadīt ierīci un izpildīt papildu komandas, kad vien tas nepieciešams.

Lai izvairītos no cietušā brīdināšanas instalēšanas laikā, ļaunprogrammatūra parāda maldinošu kļūdas ziņojumu, kurā norādīts, ka lietojumprogramma netiek atbalstīta. Šis ziņojums liek lietotājiem domāt, ka instalēšanas process neizdevās, pat ja ļaunprogrammatūra jau ir veiksmīgi izvietota.

Izplatīšana, izmantojot ClickFix tehniku

Galvenā SHub izplatīšanas metode balstās uz sociālo inženieriju un tehniku, kas pazīstama kā ClickFix. Šajā kampaņā uzbrucēji izveido krāpniecisku vietni, kas atdarina likumīgo CleanMyMac programmatūras vietni. Apmeklētājiem, kuri uzskata, ka lejupielādē autentisku lietojumprogrammu, tā vietā tiek parādītas neparastas instalēšanas instrukcijas.

Tā vietā, lai saņemtu parastu instalēšanas failu, lietotājiem tiek norādīts atvērt macOS termināli un ielīmēt komandu, lai pabeigtu instalēšanas procesu. Kad šī komanda tiek izpildīta, tā lejupielādē un palaiž slēptu skriptu, kas instalē SHub ļaunprogrammatūru.

Uzbrukuma secība parasti attīstās šādi:

  • Cietušais apmeklē viltotu vietni, kas uzdodas par CleanMyMac lejupielādes lapu.
  • Vietne instruē lietotāju atvērt termināli un ielīmēt norādīto komandu kā daļu no instalēšanas.
  • Izpildot komandu, tiek lejupielādēts un palaists slēpts skripts, kas sistēmā instalē SHub.

Tā kā upuris šīs darbības veic manuāli, uzbrukums var apiet dažus tradicionālos drošības brīdinājumus.

Drošības riski un iespējamās sekas

SHub rada nopietnus draudus macOS lietotājiem, pateicoties tā plašajām datu vākšanas iespējām un ilgtermiņa saglabāšanas funkcijām. Pēc instalēšanas tas var nemanāmi ievākt sensitīvu informāciju un nodrošināt uzbrucējiem nepārtrauktu attālo piekļuvi apdraudētajai ierīcei.

Šīs ļaunprogrammatūras upuri var saskarties ar dažādām sekām, tostarp:

  • Kriptovalūtas zādzība no apdraudētām maku lietotnēm
  • Identitātes zādzība, kas radusies nozagtu personas datu un akreditācijas datu dēļ
  • Neautorizēta piekļuve tiešsaistes kontiem un pakalpojumiem
  • Izstrādātāju noslēpumu, piemēram, API atslēgu vai autentifikācijas žetonu, izpaušana

Ņemot vērā informācijas apjomu, ko SHub var apkopot, inficēšanās novēršana ir kritiski svarīga. Lietotājiem jābūt piesardzīgiem, lejupielādējot programmatūru, jāizvairās no komandu izpildes no neuzticamiem avotiem un jāpārbauda, vai vietnes, kas piedāvā lejupielādes, ir likumīgas. Ļaunprogrammatūras agrīna atklāšana un tūlītēja noņemšana ir būtiska, lai novērstu turpmāku datu apdraudēšanu.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
22,143
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...