Zlodej SHub

SHub je sofistikovaný malvér na krádež informácií, ktorý je špeciálne navrhnutý na napadnutie systémov macOS. Jeho hlavným cieľom je extrahovať citlivé informácie z prehliadačov, kryptomenových peňaženiek a rôznych systémových komponentov. Táto hrozba je obzvlášť nebezpečná, pretože v rámci jednej kampane kombinuje krádež prihlasovacích údajov, cielenie na kryptomeny a mechanizmy trvalého prístupu.

Tento škodlivý softvér sa bežne šíri podvodnými metódami, ktoré oklamú používateľov a prinútia ich vykonávať škodlivé príkazy. Po aktivácii SHub potichu zhromažďuje cenné údaje a dokáže si udržiavať dlhodobý prístup k infikovanému zariadeniu. Vzhľadom na rozsah informácií, ktoré dokáže zhromaždiť, predstavuje táto hrozba vážne riziká vrátane finančných strát, krádeže identity a kompromitácie účtu. Ak sa SHub objaví v systéme, je nevyhnutné jeho okamžité odstránenie.

Počiatočná infekcia a overenie systému

Proces infikovania začína zavádzacím programom, ktorý sa spustí na počítači Mac obete. Pred nasadením celého malvéru tento zavádzací program vykoná v systéme niekoľko kontrol. Jednou z najvýznamnejších kontrol je preskúmanie systému na prítomnosť ruského rozloženia klávesnice. Ak sa takáto klávesnica zistí, malvér ukončí svoje vykonávanie a nahlási túto informáciu útočníkom.

Ak je fáza overenia úspešná, zavádzací program zhromaždí a odošle základné systémové informácie do infraštruktúry útočníkov. Tieto informácie zahŕňajú IP adresu zariadenia, názov hostiteľa, verziu systému macOS a nastavenia jazyka klávesnice. Tieto informácie pomáhajú útočníkom profilovať infikovaný počítač predtým, ako pokračujú v ďalších akciách.

Následne si malvér stiahne skript maskovaný ako legitímna výzva na zadanie hesla systému macOS. Táto falošná výzva zdanlivo rutinným spôsobom vyžaduje systémové heslo používateľa. Ak obeť zadá heslo, útočníci získajú možnosť odomknúť kľúčenku systému macOS, ktorá uchováva vysoko citlivé informácie, ako sú uložené heslá, prihlasovacie údaje k sieti Wi-Fi a súkromné šifrovacie kľúče.

Rozsiahly zber údajov z prehliadačov a peňaženiek

Keď je prístup do systému zabezpečený, SHub začne skenovať zariadenie a hľadať cenné údaje uložené vo webových prehliadačoch a aplikáciách kryptomien. Malvér sa zameriava na širokú škálu prehliadačov založených na prehliadači Chromium vrátane Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi a Coccoc. Zameriava sa aj na Firefox.

Z týchto prehliadačov malvér extrahuje uložené prihlasovacie údaje, súbory cookie, informácie o automatickom dopĺňaní a ďalšie údaje profilov vo všetkých používateľských profiloch. Malvér tiež kontroluje nainštalované rozšírenia prehliadača a hľadá rozšírenia kryptomenových peňaženiek.

SHub dokáže ukradnúť informácie z viac ako stovky známych kryptomenových peňaženiek. Medzi príklady patria Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom a Trust Wallet. Prístupom k týmto rozšíreniam môžu útočníci získať autentifikačné tokeny, prístupové údaje k peňaženkám a ďalšie citlivé údaje spojené s kryptomenovými účtami.

Zacielenie na desktopové kryptomenové aplikácie

Okrem peňaženiek v prehliadači sa SHub zameriava aj na desktopové aplikácie kryptomenových peňaženiek nainštalované v systéme. Malvér zhromažďuje údaje z veľkého počtu peňaženiek vrátane Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite a Wasabi.

Citlivé údaje extrahované z týchto aplikácií môžu zahŕňať prihlasovacie údaje k peňaženkám, súkromné kľúče a ďalšie autentifikačné informácie. Tieto údaje môžu útočníkom umožniť získať priamu kontrolu nad držaním kryptomien.

Okrem softvéru peňaženiek SHub zhromažďuje aj iné formy citlivých informácií z prostredia macOS. Získava údaje z kľúčenky macOS, informácie o účte iCloud, súbory cookie a históriu prehliadania Safari, databázy Apple Notes a súbory relácií Telegramu. Malvér navyše kopíruje súbory .zsh_history, .bash_history a .gitconfig. Tieto súbory sú obzvlášť cenné, pretože môžu obsahovať kľúče API, autentifikačné tokeny alebo iné poverenia vývojárov uložené v histórii príkazov alebo konfiguračných nastaveniach.

Manipulácia s peňaženkou pre prebiehajúce krádeže údajov

SHub robí viac než len zhromažďuje uložené informácie. Dokáže tiež upravovať určité aplikácie kryptomenových peňaženiek, aby sa zabezpečila nepretržitá krádež údajov aj po počiatočnom napadnutí.

Ak malvér zistí peňaženky ako Atomic Wallet, Exodus, Ledger Live, Ledger Wallet alebo Trezor Suite, nahradí kľúčový komponent aplikácie známy ako „app.asar“ škodlivou verziou. Tento upravený súbor pracuje ticho na pozadí a zároveň umožňuje aplikácii peňaženky pokračovať v normálnom fungovaní z pohľadu používateľa.

Prostredníctvom tejto úpravy napadnuté aplikácie peňaženiek naďalej prenášajú útočníkom citlivé informácie. Ukradnuté údaje môžu zahŕňať heslá k peňaženkám, seed frázy a frázy na obnovenie. Niektoré varianty malvéru dokážu zobrazovať falošné výzvy na obnovenie alebo správy o aktualizáciách zabezpečenia, aby oklamali používateľov k priamemu zadaniu seed fráz.

Perzistencia a možnosti diaľkového ovládania

Aby si SHub udržal dlhodobý prístup k napadnutému systému, nainštaluje mechanizmus zadných vrátok, ktorý útočníkom umožňuje komunikovať s infikovaným zariadením. Malvér vytvára úlohu na pozadí s názvom „com.google.keystone.agent.plist“. Tento názov je zámerne zvolený tak, aby pripomínal legitímnu aktualizačnú službu spoločnosti Google, čím sa znižuje pravdepodobnosť odhalenia.

Vždy, keď sa táto úloha na pozadí spustí, spustí sa skrytý skript, ktorý odošle jedinečný hardvérový identifikátor Macu na vzdialený server a skontroluje pokyny od útočníkov. Táto funkcia umožňuje útočníkom vzdialene ovládať zariadenie a vykonávať ďalšie príkazy podľa potreby.

Aby sa predišlo upozorneniu obete počas inštalácie, malvér zobrazí klamlivú chybovú správu, že aplikácia nie je podporovaná. Táto správa vedie používateľov k presvedčeniu, že proces inštalácie zlyhal, hoci malvér už bol úspešne nasadený.

Distribúcia prostredníctvom techniky ClickFix

Primárna metóda distribúcie softvéru SHub sa spolieha na sociálne inžinierstvo a techniku známu ako ClickFix. V tejto kampani útočníci vytvoria podvodnú webovú stránku, ktorá napodobňuje legitímnu stránku so softvérom CleanMyMac. Návštevníkom, ktorí sa domnievajú, že sťahujú autentickú aplikáciu, sa namiesto toho zobrazia nezvyčajné pokyny na inštaláciu.

Namiesto bežného inštalačného súboru sú používatelia vyzvaní, aby otvorili terminál macOS a vložili príkaz na dokončenie procesu inštalácie. Po vykonaní tohto príkazu sa stiahne a spustí skrytý skript, ktorý nainštaluje malvér SHub.

Sekvencia útoku sa zvyčajne odvíja nasledovne:

• Obeť navštívi falošnú webovú stránku, ktorá sa vydáva za stránku na stiahnutie CleanMyMac.
• Stránka ako súčasť inštalácie vyzve používateľa, aby otvoril Terminál a vložil poskytnutý príkaz.
• Vykonaním príkazu sa stiahne a spustí skrytý skript, ktorý nainštaluje SHub do systému.

Keďže obeť vykonáva tieto kroky manuálne, útok môže obísť niektoré tradičné bezpečnostné varovania.

Bezpečnostné riziká a potenciálne dôsledky

SHub predstavuje vážnu hrozbu pre používateľov systému macOS kvôli svojim rozsiahlym možnostiam zhromažďovania údajov a funkciám dlhodobej perzistencie. Po nainštalovaní dokáže nenápadne zhromažďovať citlivé informácie a útočníkom poskytovať nepretržitý vzdialený prístup k napadnutému zariadeniu.

Obete tohto škodlivého softvéru môžu čeliť rôznym následkom vrátane:

• Krádež kryptomien z napadnutých aplikácií peňaženiek

• Krádež identity v dôsledku odcudzenia osobných údajov a prihlasovacích údajov

• Neoprávnený prístup k online účtom a službám

• Zverejnenie vývojárskych tajomstiev, ako sú kľúče API alebo autentifikačné tokeny

Vzhľadom na rozsah informácií, ktoré dokáže SHub zhromaždiť, je prevencia infekcie kritická. Používatelia by mali byť pri sťahovaní softvéru opatrní, mali by sa vyhýbať vykonávaniu príkazov z nedôveryhodných zdrojov a overovať si, či sú webové stránky ponúkajúce súbory na stiahnutie legitímne. Včasná detekcia a okamžité odstránenie škodlivého softvéru sú nevyhnutné na zabránenie ďalšiemu ohrozeniu údajov.