Złodziej SHub

Do Mezo w Malware na Maca, Złodzieje

Przetłumacz na:

SHub to wyrafinowane złośliwe oprogramowanie kradnące informacje, zaprojektowane specjalnie do ataków na systemy macOS. Jego głównym celem jest wydobycie poufnych informacji z przeglądarek, portfeli kryptowalut i różnych komponentów systemu. Zagrożenie to jest szczególnie niebezpieczne, ponieważ łączy w ramach jednej kampanii kradzież danych uwierzytelniających, atakowanie kryptowalut i trwałe mechanizmy dostępu.

Szkodliwe oprogramowanie jest powszechnie rozpowszechniane za pomocą oszukańczych metod, które nakłaniają użytkowników do samodzielnego wykonywania złośliwych poleceń. Po aktywacji SHub dyskretnie gromadzi cenne dane i może utrzymywać długotrwały dostęp do zainfekowanego urządzenia. Ze względu na zakres gromadzonych informacji, zagrożenie to stwarza poważne zagrożenia, w tym straty finansowe, kradzież tożsamości i włamanie na konto. W przypadku wykrycia SHub w systemie niezbędne jest natychmiastowe usunięcie.

Spis treści

Początkowa infekcja i weryfikacja systemu

Proces infekcji rozpoczyna się od uruchomienia programu ładującego na komputerze Mac ofiary. Przed wdrożeniem pełnego ładunku złośliwego oprogramowania, program ten przeprowadza kilka kontroli w systemie. Jedną z najważniejszych kontroli jest sprawdzenie systemu pod kątem obecności rosyjskiego układu klawiatury. W przypadku wykrycia takiej klawiatury, złośliwe oprogramowanie przerywa działanie i przekazuje tę informację atakującym.

Jeśli etap weryfikacji zakończy się sukcesem, moduł ładujący zbiera i przesyła podstawowe dane systemowe do infrastruktury atakujących. Dane te obejmują adres IP urządzenia, nazwę hosta, wersję systemu macOS i ustawienia języka klawiatury. Informacje te pomagają atakującym w sprofilowaniu zainfekowanej maszyny przed podjęciem dalszych działań.

Następnie złośliwe oprogramowanie pobiera skrypt podszywający się pod legalny monit o podanie hasła systemu macOS. Ten fałszywy monit wydaje się rutynowo żądać podania hasła systemowego użytkownika. Jeśli ofiara wprowadzi hasło, atakujący uzyskują możliwość odblokowania pęku kluczy macOS, w którym przechowywane są bardzo poufne informacje, takie jak zapisane hasła, dane uwierzytelniające Wi-Fi i prywatne klucze szyfrujące.

Obszerne gromadzenie danych z przeglądarek i portfeli

Po zabezpieczeniu dostępu do systemu, SHub rozpoczyna skanowanie urządzenia w poszukiwaniu cennych danych przechowywanych w przeglądarkach internetowych i aplikacjach obsługujących kryptowaluty. Szkodliwe oprogramowanie atakuje szeroką gamę przeglądarek opartych na Chromium, w tym Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Operę, Operę GX, Orion, Sidekick, Vivaldi i Coccoc. Jego celem jest również Firefox.

Z tych przeglądarek złośliwe oprogramowanie wyodrębnia zapisane dane uwierzytelniające, pliki cookie, informacje autouzupełniania i inne dane profilowe ze wszystkich profili użytkowników. Szkodliwe oprogramowanie sprawdza również zainstalowane rozszerzenia przeglądarki w poszukiwaniu rozszerzeń portfeli kryptowalut.

SHub jest w stanie wykraść informacje z ponad stu znanych portfeli kryptowalutowych. Należą do nich Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom i Trust Wallet. Uzyskując dostęp do tych rozszerzeń, atakujący mogą uzyskać tokeny uwierzytelniające, dane dostępu do portfela i inne poufne informacje powiązane z kontami kryptowalutowymi.

Aplikacje kryptowalutowe na komputery stacjonarne

Oprócz portfeli przeglądarkowych, SHub koncentruje się głównie na aplikacjach portfeli kryptowalutowych zainstalowanych w systemie. Szkodliwe oprogramowanie zbiera dane z dużej liczby portfeli, w tym Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite i Wasabi.

Dane wrażliwe wyodrębnione z tych aplikacji mogą obejmować dane uwierzytelniające portfela, klucze prywatne i inne informacje uwierzytelniające. Dane te mogą umożliwić atakującym uzyskanie bezpośredniej kontroli nad zasobami kryptowalut.

Oprócz oprogramowania portfelowego, SHub zbiera również inne rodzaje poufnych informacji ze środowiska macOS. Pobiera dane z pęku kluczy macOS, informacje o koncie iCloud, pliki cookie i historię przeglądania Safari, bazy danych Apple Notes oraz pliki sesji Telegrama. Szkodliwe oprogramowanie kopiuje również pliki .zsh_history, .bash_history i .gitconfig. Pliki te są szczególnie cenne, ponieważ mogą zawierać klucze API, tokeny uwierzytelniające lub inne dane uwierzytelniające programistów przechowywane w historiach poleceń lub ustawieniach konfiguracji.

Manipulacja portfelem w celu ciągłej kradzieży danych

SHub nie tylko gromadzi przechowywane informacje. Potrafi również modyfikować niektóre aplikacje portfeli kryptowalutowych, aby zapewnić ciągłą kradzież danych, nawet po początkowym włamaniu.

Jeśli złośliwe oprogramowanie wykryje portfele takie jak Atomic Wallet, Exodus, Ledger Live, Ledger Wallet lub Trezor Suite, zastępuje kluczowy komponent aplikacji znany jako „app.asar” złośliwą wersją. Ten zmodyfikowany plik działa w tle, umożliwiając aplikacji portfela normalne funkcjonowanie z perspektywy użytkownika.

Dzięki tej modyfikacji zainfekowane aplikacje portfela nadal przesyłają atakującym poufne informacje. Skradzione dane mogą obejmować hasła do portfela, frazy początkowe i frazy odzyskiwania. Niektóre warianty złośliwego oprogramowania potrafią wyświetlać fałszywe monity odzyskiwania lub komunikaty o aktualizacjach zabezpieczeń, aby nakłonić użytkowników do bezpośredniego wprowadzenia fraz początkowych.

Trwałość i możliwości zdalnego sterowania

Aby utrzymać długotrwały dostęp do zainfekowanego systemu, SHub instaluje mechanizm backdoor, który umożliwia atakującym komunikację z zainfekowanym urządzeniem. Szkodliwe oprogramowanie tworzy zadanie w tle o nazwie „com.google.keystone.agent.plist”. Nazwa ta została celowo dobrana tak, aby przypominała legalną usługę aktualizacji Google, zmniejszając prawdopodobieństwo wykrycia.

Za każdym razem, gdy to zadanie w tle jest uruchamiane, uruchamia ukryty skrypt, który wysyła unikalny identyfikator sprzętowy komputera Mac do zdalnego serwera i sprawdza, czy atakujący otrzymali instrukcje. Ta funkcja pozwala atakującym zdalnie sterować urządzeniem i wykonywać dodatkowe polecenia w razie potrzeby.

Aby uniknąć ostrzeżenia ofiary podczas instalacji, złośliwe oprogramowanie wyświetla zwodniczy komunikat o błędzie informujący, że aplikacja nie jest obsługiwana. Komunikat ten sprawia, że użytkownicy sądzą, że proces instalacji się nie powiódł, mimo że złośliwe oprogramowanie zostało już pomyślnie wdrożone.

Dystrybucja za pomocą techniki ClickFix

Podstawowa metoda dystrybucji SHub opiera się na socjotechnice i technice znanej jako ClickFix. W tej kampanii atakujący tworzą fałszywą stronę internetową, która imituję legalną witrynę oprogramowania CleanMyMac. Użytkownicy, którzy sądzą, że pobierają autentyczną aplikację, otrzymują zamiast tego nietypowe instrukcje instalacji.

Zamiast otrzymać standardowy plik instalacyjny, użytkownicy są proszeni o otwarcie terminala macOS i wklejenie polecenia, aby dokończyć proces instalacji. Po wykonaniu tego polecenia pobierany jest i uruchamiany ukryty skrypt, który instaluje złośliwe oprogramowanie SHub.

Sekwencja ataku zazwyczaj przebiega w następujący sposób:

Ofiara odwiedza fałszywą stronę internetową podszywającą się pod stronę pobierania CleanMyMac.
Strona instruuje użytkownika, aby otworzył terminal i wkleił podane polecenie jako część instalacji.
Wykonanie polecenia powoduje pobranie i uruchomienie ukrytego skryptu, który instaluje SHub w systemie.

Ponieważ ofiara wykonuje te kroki ręcznie, atak może ominąć niektóre tradycyjne ostrzeżenia bezpieczeństwa.

Zagrożenia bezpieczeństwa i potencjalne konsekwencje

SHub stanowi poważne zagrożenie dla użytkowników systemu macOS ze względu na rozbudowane możliwości gromadzenia danych i funkcje długotrwałego przechowywania danych. Po zainstalowaniu może dyskretnie gromadzić poufne informacje i zapewniać atakującym ciągły zdalny dostęp do zainfekowanego urządzenia.

Ofiary tego złośliwego oprogramowania mogą ponieść szereg konsekwencji, w tym:

Kradzież kryptowaluty z zainfekowanych aplikacji portfelowych

Kradzież tożsamości w wyniku kradzieży danych osobowych i danych uwierzytelniających

Nieautoryzowany dostęp do kont i usług online

Ujawnienie tajemnic programistów, takich jak klucze API lub tokeny uwierzytelniające

Biorąc pod uwagę skalę informacji, jakie może gromadzić SHub, zapobieganie infekcji jest kluczowe. Użytkownicy powinni zachować ostrożność podczas pobierania oprogramowania, unikać wykonywania poleceń z niezaufanych źródeł i sprawdzać, czy strony oferujące pobieranie są legalne. Wczesne wykrycie i natychmiastowe usunięcie złośliwego oprogramowania są niezbędne, aby zapobiec dalszemu wyciekowi danych.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

Złodziej SHub

Początkowa infekcja i weryfikacja systemu

Obszerne gromadzenie danych z przeglądarek i portfeli

Aplikacje kryptowalutowe na komputery stacjonarne

Manipulacja portfelem w celu ciągłej kradzieży danych

Trwałość i możliwości zdalnego sterowania

Dystrybucja za pomocą techniki ClickFix

Zagrożenia bezpieczeństwa i potencjalne konsekwencje

Prześlij komentarz

Popularne

Zareus Ransomware

Bspojzo Ransomware

Precludestore.com

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Jak naprawić „macOS nie może zweryfikować, czy ta...

Discord pokazuje czarny ekran podczas udostępniania...