Shub-dief

Tegen Mezo in Mac-malware, Dieven

Vertalen naar:

SHub is geavanceerde malware die specifiek is ontworpen om macOS-systemen te compromitteren en zo gegevens te stelen. Het primaire doel is het bemachtigen van gevoelige informatie uit browsers, cryptowallets en diverse systeemcomponenten. De dreiging is bijzonder gevaarlijk omdat het diefstal van inloggegevens, het aanvallen van cryptovaluta en mechanismen voor permanente toegang combineert in één enkele campagne.

De malware wordt doorgaans verspreid via misleidende methoden die gebruikers ertoe verleiden zelf schadelijke commando's uit te voeren. Eenmaal actief verzamelt SHub stilletjes waardevolle gegevens en kan het langdurig toegang behouden tot het geïnfecteerde apparaat. Vanwege de omvang van de informatie die het kan verzamelen, vormt deze dreiging een ernstig risico, waaronder financiële verliezen, identiteitsdiefstal en accountcompromittering. Onmiddellijke verwijdering is essentieel als SHub op een systeem wordt aangetroffen.

Inhoudsopgave

Initiële infectie en systeemverificatie

Het infectieproces begint met een loader die op de Mac van het slachtoffer wordt uitgevoerd. Voordat de volledige malware wordt geïnstalleerd, voert deze loader verschillende controles uit op het systeem. Een van de meest opvallende controles is het onderzoeken van de aanwezigheid van een Russisch toetsenbord. Als een dergelijk toetsenbord wordt gedetecteerd, stopt de malware met de uitvoering en rapporteert deze informatie aan de aanvallers.

Als de verificatiefase succesvol is, verzamelt en verzendt de loader basisgegevens van het systeem naar de infrastructuur van de aanvallers. Deze gegevens omvatten het IP-adres van het apparaat, de hostnaam, de macOS-versie en de toetsenbordtaalinstellingen. Deze informatie helpt de aanvallers om een profiel van de geïnfecteerde machine op te stellen voordat ze verdere acties ondernemen.

Vervolgens downloadt de malware een script dat is vermomd als een legitieme macOS-wachtwoordprompt. Deze nep-prompt lijkt op een normale manier om het systeemwachtwoord van de gebruiker te vragen. Als het slachtoffer het wachtwoord invoert, krijgen de aanvallers toegang tot de macOS-sleutelbos, waarin zeer gevoelige informatie is opgeslagen, zoals wachtwoorden, wifi-gegevens en privésleutels voor encryptie.

Uitgebreide gegevensverzameling via browsers en wallets

Zodra de toegang tot het systeem is beveiligd, begint SHub het apparaat te scannen op waardevolle gegevens die zijn opgeslagen in webbrowsers en cryptocurrency-applicaties. De malware richt zich op een breed scala aan op Chromium gebaseerde browsers, waaronder Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi en Coccoc. Ook Firefox wordt aangevallen.

Via deze browsers extraheert de malware opgeslagen inloggegevens, cookies, automatisch ingevulde informatie en andere profielgegevens van alle gebruikersprofielen. De malware inspecteert ook geïnstalleerde browserextensies op zoek naar extensies voor cryptowallets.

SHub is in staat om informatie te stelen van meer dan honderd bekende cryptowallets. Voorbeelden hiervan zijn Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom en Trust Wallet. Door toegang te krijgen tot deze extensies kunnen aanvallers authenticatietokens, inloggegevens voor wallets en andere gevoelige informatie die aan cryptoaccounts is gekoppeld, bemachtigen.

Doelgericht gebruik van cryptovaluta-applicaties voor desktops

Naast browsergebaseerde wallets richt SHub zich sterk op cryptowallet-applicaties die op desktopcomputers zijn geïnstalleerd. De malware verzamelt gegevens van een groot aantal wallets, waaronder Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite en Wasabi.

Gevoelige gegevens die uit deze applicaties worden gehaald, kunnen onder andere wallet-gegevens, privésleutels en andere authenticatie-informatie bevatten. Deze gegevens kunnen aanvallers in staat stellen om directe controle over cryptovaluta te verkrijgen.

Naast wallet-software verzamelt SHub ook andere vormen van gevoelige informatie uit de macOS-omgeving. Het haalt gegevens op uit de macOS-sleutelbos, iCloud-accountinformatie, Safari-cookies en browsegeschiedenis, Apple Notes-databases en Telegram-sessiebestanden. De malware kopieert bovendien de bestanden .zsh_history, .bash_history en .gitconfig. Deze bestanden zijn bijzonder waardevol omdat ze API-sleutels, authenticatietokens of andere ontwikkelaarsgegevens kunnen bevatten die zijn opgeslagen in opdrachtgeschiedenis of configuratie-instellingen.

Portemonneemanipulatie voor voortdurende gegevensdiefstal

SHub doet meer dan alleen opgeslagen informatie verzamelen. Het kan ook bepaalde cryptocurrency-wallet-applicaties aanpassen om door te gaan met het stelen van gegevens, zelfs na de eerste inbreuk.

Als de malware wallets zoals Atomic Wallet, Exodus, Ledger Live, Ledger Wallet of Trezor Suite detecteert, vervangt deze een belangrijk applicatieonderdeel genaamd 'app.asar' door een kwaadaardige versie. Dit gemodificeerde bestand werkt ongemerkt op de achtergrond, terwijl de wallet-applicatie voor de gebruiker gewoon blijft functioneren.

Door deze aanpassing blijven de gecompromitteerde wallet-applicaties gevoelige informatie naar de aanvallers verzenden. De gestolen gegevens kunnen onder andere wachtwoorden, seed phrases en herstelzinnen van de wallet bevatten. Sommige varianten van de malware kunnen valse herstelprompts of beveiligingsupdateberichten weergeven om gebruikers ertoe te verleiden hun seed phrases direct in te voeren.

Mogelijkheden voor persistentie en beheer op afstand

Om langdurig toegang te behouden tot het gecompromitteerde systeem, installeert SHub een backdoor-mechanisme waarmee aanvallers met het geïnfecteerde apparaat kunnen communiceren. De malware creëert een achtergrondtaak met de naam 'com.google.keystone.agent.plist'. Deze naam is opzettelijk gekozen om te lijken op de legitieme updateservice van Google, waardoor de kans op detectie kleiner wordt.

Telkens wanneer deze achtergrondtaak wordt uitgevoerd, start deze een verborgen script dat de unieke hardware-identificatiecode van de Mac naar een externe server stuurt en controleert op instructies van de aanvallers. Deze mogelijkheid stelt de aanvallers in staat om het apparaat op afstand te besturen en naar behoefte extra commando's uit te voeren.

Om het slachtoffer tijdens de installatie niet te waarschuwen, geeft de malware een misleidende foutmelding weer waarin staat dat de applicatie niet wordt ondersteund. Deze melding doet gebruikers geloven dat het installatieproces is mislukt, terwijl de malware in werkelijkheid al succesvol is geïnstalleerd.

Distributie via de ClickFix-techniek

De belangrijkste distributiemethode voor SHub is gebaseerd op social engineering en een techniek die bekend staat als ClickFix. Bij deze campagne creëren aanvallers een frauduleuze website die de legitieme CleanMyMac-softwarewebsite nabootst. Bezoekers die denken dat ze de authentieke applicatie downloaden, krijgen in plaats daarvan ongebruikelijke installatie-instructies te zien.

In plaats van een normaal installatiebestand te ontvangen, worden gebruikers gevraagd de macOS Terminal te openen en een commando te plakken om het installatieproces te voltooien. Wanneer dit commando wordt uitgevoerd, wordt een verborgen script gedownload en uitgevoerd dat de SHub-malware installeert.

De aanvalssequentie verloopt doorgaans als volgt:

Het slachtoffer bezoekt een nepwebsite die zich voordoet als de downloadpagina van CleanMyMac.
De website instrueert de gebruiker om Terminal te openen en een opgegeven commando te plakken als onderdeel van de installatie.
Door het commando uit te voeren, wordt een verborgen script gedownload en uitgevoerd dat SHub op het systeem installeert.

Omdat het slachtoffer deze stappen handmatig uitvoert, kan de aanval sommige traditionele beveiligingswaarschuwingen omzeilen.

Beveiligingsrisico’s en mogelijke gevolgen

SHub vormt een ernstige bedreiging voor macOS-gebruikers vanwege de uitgebreide mogelijkheden voor gegevensverzameling en de langdurige opslag van gegevens. Eenmaal geïnstalleerd, kan het ongemerkt gevoelige informatie verzamelen en aanvallers continu op afstand toegang geven tot het gecompromitteerde apparaat.

Slachtoffers van deze malware kunnen met diverse gevolgen te maken krijgen, waaronder:

Diefstal van cryptovaluta via gehackte wallet-applicaties

Identiteitsdiefstal als gevolg van gestolen persoonlijke gegevens en inloggegevens

Ongeautoriseerde toegang tot online accounts en diensten

Het openbaar maken van ontwikkelaarsgeheimen zoals API-sleutels of authenticatietokens.

Gezien de enorme hoeveelheid informatie die SHub kan verzamelen, is het voorkomen van infecties cruciaal. Gebruikers moeten voorzichtig zijn bij het downloaden van software, geen commando's uitvoeren van onbetrouwbare bronnen en controleren of websites die downloads aanbieden legitiem zijn. Vroegtijdige detectie en onmiddellijke verwijdering van de malware zijn essentieel om verdere datalekken te voorkomen.

Het faillissementsverzoek van de betalingsverwerker Digital River GmbH van EnigmaSoft heeft geen invloed op de anti-malwarebescherming van SpyHunter-klanten

Zoeken

Veranderen van regio

Shub-dief

Initiële infectie en systeemverificatie

Uitgebreide gegevensverzameling via browsers en wallets

Doelgericht gebruik van cryptovaluta-applicaties voor desktops

Portemonneemanipulatie voor voortdurende gegevensdiefstal

Mogelijkheden voor persistentie en beheer op afstand

Distributie via de ClickFix-techniek

Beveiligingsrisico’s en mogelijke gevolgen

Commentaar toevoegen

Trending

Zareus Ransomware

Bspojzo-ransomware

Precludestore.com

Meest bekeken

Hoe de fout 'Printerstuurprogramma is niet...

Hoe te repareren 'macOS kan niet verifiëren dat deze...

Discord toont zwart scherm bij delen van scherm