Pencuri Shub

Menjelang Mezo pada Mac Malware, pencuri

Terjemahkan ke

SHub ialah perisian hasad pencuri maklumat canggih yang direka khusus untuk menjejaskan sistem macOS. Objektif utamanya adalah untuk mengekstrak maklumat sensitif daripada pelayar, dompet mata wang kripto dan pelbagai komponen sistem. Ancaman ini amat berbahaya kerana ia menggabungkan kecurian kelayakan, penyasaran mata wang kripto dan mekanisme akses berterusan dalam satu kempen.

Perisian hasad ini biasanya diedarkan melalui kaedah mengelirukan yang memperdaya pengguna untuk melaksanakan arahan berniat jahat sendiri. Sebaik sahaja aktif, SHub secara senyap mengumpulkan data berharga dan dapat mengekalkan akses jangka panjang ke peranti yang dijangkiti. Disebabkan oleh tahap maklumat yang dapat dikumpulkannya, ancaman ini menimbulkan risiko yang serius, termasuk kerugian kewangan, kecurian identiti dan pencerobohan akaun. Penyingkiran segera adalah penting jika SHub ditemui pada sistem.

Isi kandungan

Jangkitan Awal dan Pengesahan Sistem

Proses jangkitan bermula dengan pemuat yang dilaksanakan pada Mac mangsa. Sebelum menggunakan muatan perisian hasad penuh, pemuat ini melakukan beberapa pemeriksaan pada sistem. Salah satu pemeriksaan yang paling ketara melibatkan pemeriksaan sistem untuk kehadiran susun atur papan kekunci Rusia. Jika papan kekunci sedemikian dikesan, perisian hasad akan menamatkan pelaksanaannya dan melaporkan maklumat ini kembali kepada penyerang.

Jika peringkat pengesahan berjaya, pemuat akan mengumpul dan menghantar butiran sistem asas kepada infrastruktur penyerang. Butiran ini termasuk alamat IP peranti, nama hos, versi macOS dan tetapan bahasa papan kekunci. Maklumat ini membantu penyerang membuat profil mesin yang dijangkiti sebelum meneruskan tindakan selanjutnya.

Selepas itu, perisian hasad memuat turun skrip yang menyamar sebagai gesaan kata laluan macOS yang sah. Gesaan palsu ini seolah-olah meminta kata laluan sistem pengguna secara rutin. Jika mangsa memasukkan kata laluan, penyerang akan mendapat keupayaan untuk membuka kunci Rantai Kunci macOS, yang menyimpan maklumat yang sangat sensitif seperti kata laluan yang disimpan, kelayakan Wi-Fi dan kunci penyulitan peribadi.

Pengumpulan Data yang Luas daripada Pelayar dan Dompet

Sebaik sahaja akses kepada sistem dijamin, SHub akan mula mengimbas peranti untuk data berharga yang disimpan dalam pelayar web dan aplikasi mata wang kripto. Perisian hasad ini menyasarkan pelbagai pelayar berasaskan Chromium, termasuk Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi dan Coccoc. Ia juga menyasarkan Firefox.

Daripada pelayar ini, perisian hasad mengekstrak kelayakan, kuki, maklumat autoisi dan data profil lain yang disimpan merentasi semua profil pengguna. Perisian hasad juga memeriksa sambungan pelayar yang dipasang untuk mencari sambungan dompet mata wang kripto.

SHub mampu mencuri maklumat daripada lebih seratus dompet mata wang kripto yang diketahui. Contohnya termasuk Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom dan Trust Wallet. Dengan mengakses sambungan ini, penyerang boleh mendapatkan token pengesahan, data akses dompet dan butiran sensitif lain yang berkaitan dengan akaun mata wang kripto.

Menyasarkan Aplikasi Mata Wang Kripto Desktop

Selain dompet berasaskan pelayar, SHub banyak memberi tumpuan kepada aplikasi dompet mata wang kripto desktop yang dipasang pada sistem. Perisian hasad ini mengumpul data daripada sebilangan besar dompet, termasuk Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite dan Wasabi.

Data sensitif yang diekstrak daripada aplikasi ini mungkin termasuk kelayakan dompet, kunci peribadi dan maklumat pengesahan lain. Data ini boleh membolehkan penyerang mendapatkan kawalan langsung ke atas pegangan mata wang kripto.

Selain perisian dompet, SHub juga mengumpul maklumat sensitif lain daripada persekitaran macOS. Ia mengambil data daripada Rantai Kunci macOS, maklumat akaun iCloud, kuki Safari dan sejarah pelayaran, pangkalan data Apple Notes dan fail sesi Telegram. Perisian hasad ini juga menyalin fail .zsh_history, .bash_history dan .gitconfig. Fail-fail ini amat berharga kerana ia mungkin mengandungi kunci API, token pengesahan atau kelayakan pembangun lain yang disimpan dalam sejarah arahan atau tetapan konfigurasi.

Manipulasi Dompet untuk Kecurian Data Berterusan

SHub bukan sekadar mengumpul maklumat yang disimpan. Ia juga boleh mengubah suai aplikasi dompet mata wang kripto tertentu untuk mengekalkan kecurian data yang berterusan walaupun selepas kompromi awal.

Jika perisian hasad mengesan dompet seperti Atomic Wallet, Exodus, Ledger Live, Ledger Wallet atau Trezor Suite, ia akan menggantikan komponen aplikasi utama yang dikenali sebagai 'app.asar' dengan versi berniat jahat. Fail yang diubah suai ini beroperasi secara senyap di latar belakang sambil membenarkan aplikasi dompet terus berfungsi seperti biasa dari perspektif pengguna.

Melalui pengubahsuaian ini, aplikasi dompet yang dicerobohi terus menghantar maklumat sensitif kepada penyerang. Data yang dicuri mungkin termasuk kata laluan dompet, frasa permulaan dan frasa pemulihan. Sesetengah varian perisian hasad mampu memaparkan gesaan pemulihan palsu atau mesej kemas kini keselamatan untuk memperdaya pengguna agar memasukkan frasa permulaan mereka secara langsung.

Keupayaan Kegigihan dan Kawalan Jauh

Untuk mengekalkan akses jangka panjang kepada sistem yang diceroboh, SHub memasang mekanisme pintu belakang yang membolehkan penyerang berkomunikasi dengan peranti yang dijangkiti. Perisian hasad ini mencipta tugas latar belakang bernama 'com.google.keystone.agent.plist.' Nama ini sengaja dipilih untuk menyerupai perkhidmatan kemas kini Google yang sah, sekali gus mengurangkan kemungkinan pengesanan.

Setiap kali tugas latar belakang ini dijalankan, ia melancarkan skrip tersembunyi yang menghantar pengecam perkakasan unik Mac ke pelayan jauh dan menyemak arahan daripada penyerang. Keupayaan ini membolehkan pelaku ancaman mengawal peranti dari jauh dan melaksanakan arahan tambahan bila-bila masa diperlukan.

Untuk mengelakkan daripada memaklumkan mangsa semasa pemasangan, perisian hasad memaparkan mesej ralat mengelirukan yang menyatakan bahawa aplikasi tersebut tidak disokong. Mesej ini menyebabkan pengguna percaya bahawa proses pemasangan gagal, walaupun perisian hasad telah berjaya digunakan.

Pengedaran Melalui Teknik ClickFix

Kaedah pengedaran utama untuk SHub bergantung pada kejuruteraan sosial dan teknik yang dikenali sebagai ClickFix. Dalam kempen ini, penyerang mencipta laman web palsu yang meniru laman perisian CleanMyMac yang sah. Pengunjung yang percaya bahawa mereka sedang memuat turun aplikasi asli sebaliknya diberikan arahan pemasangan yang luar biasa.

Daripada menerima fail pemasang biasa, pengguna diarahkan untuk membuka Terminal macOS dan menampal arahan untuk menyelesaikan proses pemasangan. Apabila arahan ini dilaksanakan, ia memuat turun dan menjalankan skrip tersembunyi yang memasang perisian hasad SHub.

Urutan serangan biasanya berlaku seperti berikut:

Mangsa melayari laman web palsu yang menyamar sebagai halaman muat turun CleanMyMac.
Laman ini mengarahkan pengguna untuk membuka Terminal dan menampal arahan yang disediakan sebagai sebahagian daripada pemasangan.
Melaksanakan arahan akan memuat turun dan menjalankan skrip tersembunyi yang memasang SHub pada sistem.

Oleh kerana mangsa melakukan langkah-langkah ini secara manual, serangan itu boleh memintas beberapa amaran keselamatan tradisional.

Risiko Keselamatan dan Potensi Akibat

SHub merupakan ancaman serius kepada pengguna macOS kerana keupayaan pengumpulan datanya yang meluas dan ciri-ciri kegigihan jangka panjang. Setelah dipasang, ia boleh menuai maklumat sensitif secara senyap dan menyediakan penyerang dengan akses jarak jauh berterusan ke peranti yang diceroboh.

Mangsa perisian hasad ini mungkin menghadapi pelbagai akibat, termasuk:

Kecurian mata wang kripto daripada aplikasi dompet yang dikompromi

Kecurian identiti akibat daripada data peribadi dan kelayakan yang dicuri

Akses tanpa kebenaran ke akaun dan perkhidmatan dalam talian

Pendedahan rahsia pembangun seperti kunci API atau token pengesahan

Memandangkan skala maklumat yang boleh dikumpulkan oleh SHub, mencegah jangkitan adalah penting. Pengguna harus berhati-hati semasa memuat turun perisian, mengelakkan pelaksanaan arahan daripada sumber yang tidak dipercayai dan mengesahkan bahawa laman web yang menawarkan muat turun adalah sah. Pengesanan awal dan penyingkiran segera perisian hasad adalah penting untuk mencegah pencerobohan data selanjutnya.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Pencuri Shub

Jangkitan Awal dan Pengesahan Sistem

Pengumpulan Data yang Luas daripada Pelayar dan Dompet

Menyasarkan Aplikasi Mata Wang Kripto Desktop

Manipulasi Dompet untuk Kecurian Data Berterusan

Keupayaan Kegigihan dan Kawalan Jauh

Pengedaran Melalui Teknik ClickFix

Risiko Keselamatan dan Potensi Akibat

hantar komen

Trending

Zareus Ransomware

Bspojzo Ransomware

Precludestore.com

Paling banyak dilihat

Eporner.com

XHAMSTER Ransomware

Perisian hasad