SHub-stjeler

SHub er en sofistikert informasjonsstjelende skadevare som er spesielt utviklet for å kompromittere macOS-systemer. Hovedmålet er å trekke ut sensitiv informasjon fra nettlesere, kryptovaluta-lommebøker og ulike systemkomponenter. Trusselen er spesielt farlig fordi den kombinerer legitimasjonstyveri, kryptovaluta-målretting og vedvarende tilgangsmekanismer i én enkelt kampanje.

Skadevaren distribueres ofte gjennom villedende metoder som lurer brukere til å utføre ondsinnede kommandoer selv. Når den er aktiv, samler SHub i stillhet verdifulle data og kan opprettholde langsiktig tilgang til den infiserte enheten. På grunn av omfanget av informasjonen den kan samle inn, utgjør denne trusselen alvorlige risikoer, inkludert økonomiske tap, identitetstyveri og kompromittering av kontoer. Umiddelbar fjerning er viktig hvis SHub oppdages på et system.

Førstegangsinfeksjon og systemverifisering

Infeksjonsprosessen starter med en laster som kjører på offerets Mac. Før hele skadevarenyttelasten distribueres, utfører denne lasteren flere kontroller på systemet. En av de mest bemerkelsesverdige kontrollene innebærer å undersøke systemet for tilstedeværelsen av et russisk tastaturoppsett. Hvis et slikt tastatur oppdages, avslutter skadevaren kjøringen og rapporterer denne informasjonen tilbake til angriperne.

Hvis verifiseringsfasen er vellykket, samler lasteren inn og overfører grunnleggende systemdetaljer til angripernes infrastruktur. Disse detaljene inkluderer enhetens IP-adresse, vertsnavn, macOS-versjon og tastaturspråkinnstillinger. Denne informasjonen hjelper angriperne med å profilere den infiserte maskinen før de fortsetter med videre handlinger.

Etterpå laster skadevaren ned et skript forkledd som en legitim macOS-passordforespørsel. Denne falske forespørselen ser ut til å be om brukerens systempassord på en rutinemessig måte. Hvis offeret taster inn passordet, får angriperne muligheten til å låse opp macOS-nøkkelringen, som lagrer svært sensitiv informasjon som lagrede passord, Wi-Fi-legitimasjon og private krypteringsnøkler.

Omfattende datainnsamling fra nettlesere og lommebøker

Når tilgangen til systemet er sikret, begynner SHub å skanne enheten for verdifulle data lagret i nettlesere og kryptovalutaapplikasjoner. Skadevaren retter seg mot et bredt spekter av Chromium-baserte nettlesere, inkludert Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi og Coccoc. Den retter seg også mot Firefox.

Fra disse nettleserne henter skadevaren ut lagret legitimasjon, informasjonskapsler, autofyllinformasjon og andre profildata på tvers av alle brukerprofiler. Skadevaren inspiserer også installerte nettleserutvidelser på jakt etter utvidelser til kryptovalutalommebøker.

SHub er i stand til å stjele informasjon fra mer enn hundre kjente kryptovaluta-lommebøker. Eksempler inkluderer Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom og Trust Wallet. Ved å få tilgang til disse utvidelsene kan angripere få tak i autentiseringstokener, lommeboktilgangsdata og andre sensitive detaljer knyttet til kryptovalutakontoer.

Målretting mot kryptovalutaapplikasjoner på datamaskiner

I tillegg til nettleserbaserte lommebøker fokuserer SHub sterkt på kryptovaluta-lommebøker for datamaskiner som er installert på systemet. Skadevaren samler inn data fra et stort antall lommebøker, inkludert Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite og Wasabi.

Sensitive data som hentes fra disse applikasjonene kan inkludere lommeboklegitimasjon, private nøkler og annen autentiseringsinformasjon. Disse dataene kan gjøre det mulig for angripere å få direkte kontroll over kryptovalutabeholdninger.

I tillegg til lommebokprogramvare samler SHub også inn andre former for sensitiv informasjon fra macOS-miljøet. Den henter data fra macOS-nøkkelringen, iCloud-kontoinformasjon, Safari-informasjonskapsler og nettleserlogg, Apple Notes-databaser og Telegram-øktfiler. Skadevaren kopierer i tillegg filene .zsh_history, .bash_history og .gitconfig. Disse filene er spesielt verdifulle fordi de kan inneholde API-nøkler, autentiseringstokener eller annen utviklerlegitimasjon lagret i kommandohistorikk eller konfigurasjonsinnstillinger.

Lommebokmanipulasjon for pågående datatyveri

SHub gjør mer enn bare å samle inn lagret informasjon. Den kan også endre visse kryptovaluta-lommebokapplikasjoner for å opprettholde kontinuerlig datatyveri selv etter den første kompromitteringen.

Hvis skadevaren oppdager lommebøker som Atomic Wallet, Exodus, Ledger Live, Ledger Wallet eller Trezor Suite, erstatter den en viktig programkomponent kjent som «app.asar» med en skadelig versjon. Denne modifiserte filen opererer stille i bakgrunnen samtidig som den lar lommebokapplikasjonen fortsette å fungere normalt fra brukerens perspektiv.

Gjennom denne modifikasjonen fortsetter de kompromitterte lommebokapplikasjonene å overføre sensitiv informasjon til angriperne. De stjålne dataene kan inkludere lommebokpassord, frøfraser og gjenopprettingsfraser. Noen varianter av skadevaren er i stand til å vise falske gjenopprettingsmeldinger eller sikkerhetsoppdateringsmeldinger for å lure brukere til å skrive inn frøfrasene sine direkte.

Utholdenhet og fjernkontrollmuligheter

For å opprettholde langsiktig tilgang til det kompromitterte systemet installerer SHub en bakdørmekanisme som lar angripere kommunisere med den infiserte enheten. Skadevaren oppretter en bakgrunnsoppgave kalt «com.google.keystone.agent.plist». Dette navnet er bevisst valgt for å ligne Googles legitime oppdateringstjeneste, noe som reduserer sannsynligheten for oppdagelse.

Når denne bakgrunnsoppgaven kjører, starter den et skjult skript som sender Mac-ens unike maskinvareidentifikator til en ekstern server og sjekker etter instruksjoner fra angriperne. Denne funksjonen lar trusselaktørene fjernstyre enheten og utføre tilleggskommandoer når det er nødvendig.

For å unngå å varsle offeret under installasjonen, viser skadevaren en villedende feilmelding som sier at programmet ikke støttes. Denne meldingen får brukerne til å tro at installasjonsprosessen mislyktes, selv om skadevaren allerede er distribuert.

Distribusjon gjennom ClickFix-teknikken

Den primære distribusjonsmetoden for SHub er basert på sosial manipulering og en teknikk kjent som ClickFix. I denne kampanjen lager angriperne et svindelnettsted som imiterer det legitime nettstedet for CleanMyMac-programvaren. Besøkende som tror de laster ned det autentiske programmet, får i stedet presentert uvanlige installasjonsinstruksjoner.

I stedet for å motta en vanlig installasjonsfil, blir brukerne bedt om å åpne macOS Terminal og lime inn en kommando for å fullføre installasjonsprosessen. Når denne kommandoen utføres, laster den ned og kjører et skjult skript som installerer SHub-skadevaren.

Angrepssekvensen utfolder seg vanligvis på følgende måte:

• Offeret besøker en falsk nettside som utgir seg for å være nedlastingssiden for CleanMyMac.
• Nettstedet ber brukeren om å åpne Terminal og lime inn en gitt kommando som en del av installasjonen.
• Når kommandoen kjøres, lastes det ned og kjøres et skjult skript som installerer SHub på systemet.

Fordi offeret utfører disse trinnene manuelt, kan angrepet omgå noen tradisjonelle sikkerhetsadvarsler.

Sikkerhetsrisikoer og potensielle konsekvenser

SHub representerer en alvorlig trussel mot macOS-brukere på grunn av sine omfattende datainnsamlingsmuligheter og funksjoner for langsiktig persistens. Når den er installert, kan den i stillhet samle inn sensitiv informasjon og gi angripere kontinuerlig ekstern tilgang til den kompromitterte enheten.

Ofre for denne skadelige programvaren kan oppleve en rekke konsekvenser, inkludert:

• Kryptovalutatyveri fra kompromitterte lommebokapplikasjoner

• Identitetstyveri som følge av stjålne personopplysninger og legitimasjon

• Uautorisert tilgang til nettkontoer og -tjenester

• Eksponering av utviklerhemmeligheter som API-nøkler eller autentiseringstokener

Gitt omfanget av informasjon SHub kan samle inn, er det avgjørende å forhindre infeksjon. Brukere bør være forsiktige når de laster ned programvare, unngå å utføre kommandoer fra upålitelige kilder og bekrefte at nettsteder som tilbyr nedlastinger er legitime. Tidlig oppdagelse og umiddelbar fjerning av skadelig programvare er avgjørende for å forhindre ytterligere datakompromittering.