SHub Stealer
SHub — это сложная вредоносная программа, предназначенная для кражи информации и разработанная специально для взлома систем macOS. Ее основная цель — извлечение конфиденциальной информации из браузеров, криптовалютных кошельков и различных системных компонентов. Угроза особенно опасна, поскольку в рамках одной кампании она сочетает в себе кражу учетных данных, атаку криптовалют и механизмы постоянного доступа.
Вредоносное ПО обычно распространяется обманным путем, заставляя пользователей самостоятельно выполнять вредоносные команды. После активации SHub незаметно собирает ценные данные и может поддерживать долгосрочный доступ к зараженному устройству. Из-за объема собираемой информации эта угроза представляет серьезные риски, включая финансовые потери, кражу личных данных и компрометацию учетных записей. При обнаружении SHub в системе необходимо немедленно удалить его.
Оглавление
Первичное заражение и проверка системы
Процесс заражения начинается с загрузчика, который запускается на компьютере Mac жертвы. Перед развертыванием полной вредоносной программы этот загрузчик выполняет несколько проверок системы. Одна из наиболее важных проверок включает в себя проверку системы на наличие русской раскладки клавиатуры. Если такая клавиатура обнаружена, вредоносная программа завершает свою работу и сообщает эту информацию злоумышленникам.
Если этап проверки проходит успешно, загрузчик собирает и передает основные системные данные на инфраструктуру злоумышленников. Эти данные включают IP-адрес устройства, имя хоста, версию macOS и языковые настройки клавиатуры. Эта информация помогает злоумышленникам составить профиль зараженной машины, прежде чем приступать к дальнейшим действиям.
После этого вредоносная программа загружает скрипт, замаскированный под запрос пароля от легитимной системы macOS. Этот поддельный запрос выглядит так, будто он запрашивает системный пароль пользователя в обычном режиме. Если жертва вводит пароль, злоумышленники получают возможность разблокировать связку ключей macOS, в которой хранится крайне конфиденциальная информация, такая как сохраненные пароли, учетные данные Wi-Fi и закрытые ключи шифрования.
Масштабный сбор данных из браузеров и электронных кошельков.
После получения доступа к системе SHub начинает сканирование устройства на наличие ценных данных, хранящихся в веб-браузерах и приложениях для работы с криптовалютой. Вредоносная программа нацелена на широкий спектр браузеров на основе Chromium, включая Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi и Coccoc. Она также нацелена на Firefox.
Из этих браузеров вредоносная программа извлекает сохраненные учетные данные, файлы cookie, информацию для автозаполнения и другие данные профиля всех пользователей. Вредоносная программа также проверяет установленные расширения браузера в поисках расширений для криптовалютных кошельков.
SHub способен красть информацию из более чем ста известных криптовалютных кошельков. В качестве примеров можно привести Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom и Trust Wallet. Получив доступ к этим расширениям, злоумышленники могут получить токены аутентификации, данные для доступа к кошелькам и другие конфиденциальные сведения, связанные с криптовалютными счетами.
Целевая аудитория – настольные приложения для работы с криптовалютами.
Помимо браузерных кошельков, SHub уделяет большое внимание настольным приложениям для криптовалютных кошельков, установленным в системе. Вредоносная программа собирает данные с большого количества кошельков, включая Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite и Wasabi.
Конфиденциальные данные, извлекаемые из этих приложений, могут включать учетные данные кошелька, закрытые ключи и другую информацию для аутентификации. Эти данные могут позволить злоумышленникам получить прямой контроль над криптовалютными активами.
Помимо программного обеспечения для кошельков, SHub также собирает другие виды конфиденциальной информации из среды macOS. Он извлекает данные из связки ключей macOS, информацию об учетных записях iCloud, файлы cookie Safari и историю просмотров, базы данных Apple Notes и файлы сессий Telegram. Кроме того, вредоносная программа копирует файлы .zsh_history, .bash_history и .gitconfig. Эти файлы особенно ценны, поскольку могут содержать ключи API, токены аутентификации или другие учетные данные разработчика, хранящиеся в истории команд или параметрах конфигурации.
Манипулирование электронными кошельками для постоянной кражи данных.
SHub делает больше, чем просто собирает хранимую информацию. Он также может модифицировать некоторые приложения криптовалютных кошельков, чтобы продолжать кражу данных даже после первоначального взлома.
Если вредоносная программа обнаруживает такие кошельки, как Atomic Wallet, Exodus, Ledger Live, Ledger Wallet или Trezor Suite, она заменяет ключевой компонент приложения, известный как 'app.asar', вредоносной версией. Этот модифицированный файл работает незаметно в фоновом режиме, позволяя приложению кошелька продолжать нормально функционировать с точки зрения пользователя.
Благодаря этой модификации взломанные приложения-кошельки продолжают передавать конфиденциальную информацию злоумышленникам. Украденные данные могут включать пароли от кошельков, сид-фразы и фразы восстановления. Некоторые варианты вредоносного ПО способны отображать поддельные запросы на восстановление или сообщения об обновлении безопасности, чтобы обманом заставить пользователей ввести свои сид-фразы напрямую.
Возможности сохранения данных и дистанционного управления
Для обеспечения долговременного доступа к скомпрометированной системе SHub устанавливает механизм бэкдора, позволяющий злоумышленникам взаимодействовать с зараженным устройством. Вредоносная программа создает фоновую задачу с именем «com.google.keystone.agent.plist». Это имя намеренно выбрано таким образом, чтобы напоминать легитимную службу обновлений Google, что снижает вероятность обнаружения.
При каждом запуске этой фоновой задачи запускается скрытый скрипт, который отправляет уникальный аппаратный идентификатор Mac на удаленный сервер и проверяет наличие инструкций от злоумышленников. Эта возможность позволяет злоумышленникам удаленно управлять устройством и выполнять дополнительные команды по мере необходимости.
Чтобы не предупреждать жертву во время установки, вредоносная программа отображает обманчивое сообщение об ошибке, указывающее на то, что приложение не поддерживается. Это сообщение заставляет пользователей поверить, что процесс установки завершился неудачей, даже если вредоносная программа уже была успешно развернута.
Распространение с использованием технологии ClickFix
Основной способ распространения SHub основан на социальной инженерии и методе, известном как ClickFix. В рамках этой кампании злоумышленники создают мошеннический веб-сайт, имитирующий легитимный сайт программного обеспечения CleanMyMac. Посетителям, которые считают, что загружают подлинное приложение, вместо этого предлагаются необычные инструкции по установке.
Вместо обычного установочного файла пользователям предлагается открыть Терминал macOS и вставить команду для завершения процесса установки. После выполнения этой команды загружается и запускается скрытый скрипт, устанавливающий вредоносное ПО SHub.
Последовательность атак обычно разворачивается следующим образом:
- Жертва заходит на поддельный веб-сайт, имитирующий страницу загрузки CleanMyMac.
- На сайте пользователю предлагается открыть Терминал и вставить предоставленную команду в рамках установки.
- Выполнение этой команды загружает и запускает скрытый скрипт, который устанавливает SHub в систему.
Поскольку жертва выполняет эти шаги вручную, атака может обойти некоторые традиционные предупреждения системы безопасности.
Риски для безопасности и потенциальные последствия
SHub представляет серьезную угрозу для пользователей macOS из-за своих обширных возможностей сбора данных и функций долговременного сохранения активности. После установки он может незаметно собирать конфиденциальную информацию и предоставлять злоумышленникам постоянный удаленный доступ к скомпрометированному устройству.
Жертвы этого вредоносного ПО могут столкнуться с различными последствиями, в том числе:
Учитывая масштаб информации, которую может собирать SHub, предотвращение заражения имеет решающее значение. Пользователям следует проявлять осторожность при загрузке программного обеспечения, избегать выполнения команд из ненадежных источников и проверять легитимность веб-сайтов, предлагающих загрузки. Раннее обнаружение и немедленное удаление вредоносного ПО необходимы для предотвращения дальнейшей компрометации данных.
