Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac Hoț de SHub

Hoț de SHub

Până în Mezo în Malware pentru Mac, Furători
Tradu in:

SHub este un malware sofisticat, conceput special pentru a compromite sistemele macOS. Obiectivul său principal este de a extrage informații sensibile din browsere, portofele de criptomonede și diverse componente ale sistemului. Amenințarea este deosebit de periculoasă deoarece combină furtul de credențiale, direcționarea criptomonedelor și mecanismele de acces persistent într-o singură campanie.

Malware-ul este distribuit în mod obișnuit prin metode înșelătoare care păcălesc utilizatorii să execute singuri comenzi rău intenționate. Odată activ, SHub colectează în mod silențios date valoroase și poate menține accesul pe termen lung la dispozitivul infectat. Datorită volumului mare de informații pe care le poate colecta, această amenințare prezintă riscuri serioase, inclusiv pierderi financiare, furt de identitate și compromiterea contului. Eliminarea imediată este esențială dacă SHub este descoperit pe un sistem.

Infecția inițială și verificarea sistemului

Procesul de infectare începe cu un încărcător care se execută pe Mac-ul victimei. Înainte de a implementa întreaga încărcare utilă a malware-ului, acest încărcător efectuează mai multe verificări asupra sistemului. Una dintre cele mai notabile verificări implică examinarea sistemului pentru prezența unei tastaturi rusești. Dacă este detectată o astfel de tastatură, malware-ul își oprește execuția și raportează aceste informații atacatorilor.

Dacă etapa de verificare are succes, încărcătorul colectează și transmite detalii de bază ale sistemului către infrastructura atacatorilor. Aceste detalii includ adresa IP a dispozitivului, numele gazdei, versiunea macOS și setările lingvistice ale tastaturii. Aceste informații îi ajută pe atacatori să profileze mașina infectată înainte de a continua acțiunile ulterioare.

Ulterior, malware-ul descarcă un script deghizat într-o solicitare legitimă de parolă macOS. Această solicitare falsă pare să solicite parola de sistem a utilizatorului într-un mod obișnuit. Dacă victima introduce parola, atacatorii dobândesc posibilitatea de a debloca portcheiul macOS, care stochează informații extrem de sensibile, cum ar fi parolele salvate, acreditările Wi-Fi și cheile private de criptare.

Colectare extinsă de date din browsere și portofele

Odată ce accesul la sistem este securizat, SHub începe să scaneze dispozitivul pentru date valoroase stocate în browsere web și aplicații de criptomonedă. Malware-ul vizează o gamă largă de browsere bazate pe Chromium, inclusiv Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi și Coccoc. De asemenea, vizează Firefox.

Din aceste browsere, malware-ul extrage acreditările stocate, cookie-urile, informațiile de completare automată și alte date de profil din toate profilurile de utilizator. De asemenea, malware-ul inspectează extensiile de browser instalate în căutarea extensiilor pentru portofelele de criptomonede.

SHub este capabil să fure informații din peste o sută de portofele de criptomonede cunoscute. Printre exemple se numără Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom și Trust Wallet. Prin accesarea acestor extensii, atacatorii pot obține token-uri de autentificare, date de acces la portofel și alte detalii sensibile legate de conturile de criptomonede.

Vizarea aplicațiilor de criptomonedă pentru desktop

Pe lângă portofelele bazate pe browser, SHub se concentrează în mare măsură pe aplicațiile desktop pentru portofele de criptomonede instalate pe sistem. Malware-ul colectează date dintr-un număr mare de portofele, inclusiv Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite și Wasabi.

Datele sensibile extrase din aceste aplicații pot include acreditări de portofel, chei private și alte informații de autentificare. Aceste date pot permite atacatorilor să obțină control direct asupra deținerilor de criptomonede.

Pe lângă software-ul de tip portofel electronic, SHub colectează și alte forme de informații sensibile din mediul macOS. Acesta preia date din portcheiul macOS, informații despre contul iCloud, cookie-uri și istoricul de navigare Safari, baze de date Apple Notes și fișiere de sesiune Telegram. În plus, malware-ul copiază fișierele .zsh_history, .bash_history și .gitconfig. Aceste fișiere sunt deosebit de valoroase deoarece pot conține chei API, token-uri de autentificare sau alte acreditări de dezvoltator stocate în istoricul comenzilor sau în setările de configurare.

Manipularea portofelului pentru furtul continuu de date

SHub face mai mult decât să colecteze informații stocate. De asemenea, poate modifica anumite aplicații de portofel pentru criptomonede pentru a menține furtul continuu de date chiar și după compromiterea inițială.

Dacă malware-ul detectează portofele precum Atomic Wallet, Exodus, Ledger Live, Ledger Wallet sau Trezor Suite, acesta înlocuiește o componentă cheie a aplicației, cunoscută sub numele de „app.asar”, cu o versiune rău intenționată. Acest fișier modificat funcționează silențios în fundal, permițând în același timp aplicației portofel să continue să funcționeze normal din perspectiva utilizatorului.

Prin această modificare, aplicațiile portofelului compromise continuă să transmită informații sensibile atacatorilor. Datele furate pot include parole pentru portofel, fraze de tip „seed phrases” și fraze de recuperare. Unele variante ale malware-ului sunt capabile să afișeze solicitări de recuperare false sau mesaje de actualizare de securitate pentru a păcăli utilizatorii să introducă direct frazele de tip „seed phrases”.

Capacități de persistență și control de la distanță

Pentru a menține accesul pe termen lung la sistemul compromis, SHub instalează un mecanism backdoor care permite atacatorilor să comunice cu dispozitivul infectat. Programul malware creează o sarcină în fundal numită „com.google.keystone.agent.plist”. Acest nume este ales intenționat pentru a semăna cu serviciul legitim de actualizare al Google, reducând probabilitatea de detectare.

Ori de câte ori se execută această sarcină în fundal, aceasta lansează un script ascuns care trimite identificatorul hardware unic al Mac-ului către un server la distanță și verifică instrucțiunile de la atacatori. Această capacitate permite actorilor vulnerabili să controleze dispozitivul de la distanță și să execute comenzi suplimentare ori de câte ori este nevoie.

Pentru a evita alertarea victimei în timpul instalării, malware-ul afișează un mesaj de eroare înșelător care declară că aplicația nu este acceptată. Acest mesaj îi face pe utilizatori să creadă că procesul de instalare a eșuat, chiar dacă malware-ul a fost deja implementat cu succes.

Distribuție prin tehnica ClickFix

Principala metodă de distribuție pentru SHub se bazează pe inginerie socială și o tehnică cunoscută sub numele de ClickFix. În această campanie, atacatorii creează un site web fraudulos care imită site-ul legitim al software-ului CleanMyMac. Vizitatorilor care cred că descarcă aplicația autentică li se prezintă în schimb instrucțiuni de instalare neobișnuite.

În loc să primească un fișier de instalare obișnuit, utilizatorii sunt instruiți să deschidă Terminalul macOS și să lipească o comandă pentru a finaliza procesul de instalare. Când această comandă este executată, descarcă și rulează un script ascuns care instalează malware-ul SHub.

Secvența de atac se desfășoară de obicei în felul următor:

  • Victima vizitează un site web fals care se dă drept pagina de descărcare CleanMyMac.
  • Site-ul instruiește utilizatorul să deschidă Terminalul și să lipească o comandă furnizată ca parte a instalării.
  • Executarea comenzii descarcă și rulează un script ascuns care instalează SHub pe sistem.

Deoarece victima efectuează acești pași manual, atacul poate ocoli unele avertismente de securitate tradiționale.

Riscuri de securitate și potențiale consecințe

SHub reprezintă o amenințare serioasă pentru utilizatorii macOS datorită capacităților sale extinse de colectare a datelor și a funcțiilor de persistență pe termen lung. Odată instalat, poate colecta discret informații sensibile și poate oferi atacatorilor acces continuu de la distanță la dispozitivul compromis.

Victimele acestui malware se pot confrunta cu o varietate de consecințe, inclusiv:

  • Furtul de criptomonede din aplicațiile de portofel compromise
  • Furtul de identitate rezultat în urma furtului de date personale și acreditări
  • Acces neautorizat la conturi și servicii online
  • Dezvăluirea secretelor dezvoltatorilor, cum ar fi cheile API sau token-urile de autentificare

Având în vedere amploarea informațiilor pe care SHub le poate colecta, prevenirea infecțiilor este esențială. Utilizatorii ar trebui să fie precauți atunci când descarcă software, să evite executarea comenzilor din surse nesigure și să verifice dacă site-urile web care oferă descărcări sunt legitime. Detectarea timpurie și eliminarea imediată a programelor malware sunt esențiale pentru a preveni compromiterea ulterioară a datelor.

Trending

Cele mai văzute

Se încarcă...