Popust za več licenc
Podjetje o grožnjah Mac zlonamerna programska oprema Kradljivac SHub-a

Kradljivac SHub-a

Do leta Mezo leta Mac zlonamerna programska oprema, Tatovi
Prevedi v:

SHub je sofisticirana zlonamerna programska oprema za krajo informacij, zasnovana posebej za ogrožanje sistemov macOS. Njen glavni cilj je pridobivanje občutljivih informacij iz brskalnikov, denarnic s kriptovalutami in različnih sistemskih komponent. Grožnja je še posebej nevarna, ker v eni sami kampanji združuje krajo poverilnic, ciljanje na kriptovalute in mehanizme trajnega dostopa.

Zlonamerna programska oprema se običajno širi z zavajajočimi metodami, ki uporabnike zavedejo, da sami izvajajo zlonamerne ukaze. Ko je SHub aktiven, tiho zbira dragocene podatke in lahko vzdržuje dolgoročen dostop do okužene naprave. Zaradi obsega informacij, ki jih lahko zbere, ta grožnja predstavlja resna tveganja, vključno s finančnimi izgubami, krajo identitete in ogrožanjem računa. Takojšnja odstranitev je bistvenega pomena, če je SHub odkrit v sistemu.

Začetna okužba in preverjanje sistema

Proces okužbe se začne z nalagalnikom, ki se zažene na računalniku Mac žrtve. Preden namesti celotno količino zlonamerne programske opreme, ta nalagalnik izvede več preverjanj sistema. Eno najpomembnejših preverjanj vključuje pregled sistema glede prisotnosti ruske razporeditve tipkovnice. Če zazna takšno tipkovnico, zlonamerna programska oprema prekine svoje izvajanje in te informacije sporoči napadalcem.

Če je faza preverjanja uspešna, nalagalnik zbere in posreduje osnovne sistemske podatke infrastrukturi napadalcev. Ti podatki vključujejo IP-naslov naprave, ime gostitelja, različico macOS in nastavitve jezika tipkovnice. Te informacije napadalcem pomagajo pri profiliranju okuženega računalnika, preden nadaljujejo z nadaljnjimi dejanji.

Nato zlonamerna programska oprema prenese skript, prikrit kot legitimno zahtevo za geslo za macOS. Ta lažna zahteva na videz rutinsko zahteva uporabnikovo sistemsko geslo. Če žrtev vnese geslo, napadalci pridobijo možnost odkleniti verigo ključev macOS, ki hrani zelo občutljive podatke, kot so shranjena gesla, poverilnice za Wi-Fi in zasebni šifrirni ključi.

Obsežno zbiranje podatkov iz brskalnikov in denarnic

Ko je dostop do sistema zavarovan, SHub začne skenirati napravo in iskati dragocene podatke, shranjene v spletnih brskalnikih in aplikacijah za kriptovalute. Zlonamerna programska oprema cilja na širok nabor brskalnikov, ki temeljijo na Chromiumu, vključno z Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi in Coccoc. Cilja tudi na Firefox.

Iz teh brskalnikov zlonamerna programska oprema pridobi shranjene poverilnice, piškotke, podatke za samodejno izpolnjevanje in druge podatke profilov v vseh uporabniških profilih. Zlonamerna programska oprema pregleda tudi nameščene razširitve brskalnika v iskanju razširitev denarnic s kriptovalutami.

SHub lahko krade podatke iz več kot sto znanih denarnic s kriptovalutami. Primeri vključujejo Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom in Trust Wallet. Z dostopom do teh razširitev lahko napadalci pridobijo žetone za preverjanje pristnosti, podatke o dostopu do denarnic in druge občutljive podatke, povezane s kriptovalutnimi računi.

Ciljanje na namizne aplikacije za kriptovalute

Poleg denarnic, ki temeljijo na brskalniku, se SHub močno osredotoča na namizne aplikacije za kriptovalute, nameščene v sistemu. Zlonamerna programska oprema zbira podatke iz velikega števila denarnic, vključno z Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite in Wasabi.

Občutljivi podatki, pridobljeni iz teh aplikacij, lahko vključujejo poverilnice denarnice, zasebne ključe in druge podatke za preverjanje pristnosti. Ti podatki lahko napadalcem omogočijo neposreden nadzor nad zalogami kriptovalut.

Poleg programske opreme za denarnice SHub zbira tudi druge oblike občutljivih informacij iz okolja macOS. Pridobi podatke iz verige ključev macOS, podatke o računu iCloud, piškotke in zgodovino brskanja v brskalniku Safari, baze podatkov Apple Notes in datoteke sej Telegram. Zlonamerna programska oprema dodatno kopira datoteke .zsh_history, .bash_history in .gitconfig. Te datoteke so še posebej dragocene, ker lahko vsebujejo ključe API-ja, žetone za preverjanje pristnosti ali druge poverilnice razvijalca, shranjene v zgodovini ukazov ali konfiguracijskih nastavitvah.

Manipulacija denarnic za nenehno krajo podatkov

SHub ne le zbira shranjene podatke. Prav tako lahko spremeni nekatere aplikacije za kriptovalutne denarnice, da ohrani neprekinjeno krajo podatkov tudi po začetni ogrožitvi.

Če zlonamerna programska oprema zazna denarnice, kot so Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ali Trezor Suite, ključno komponento aplikacije, znano kot »app.asar«, zamenja z zlonamerno različico. Ta spremenjena datoteka deluje tiho v ozadju, hkrati pa omogoča aplikaciji denarnice, da z vidika uporabnika še naprej normalno deluje.

S to spremembo ogrožene aplikacije denarnic še naprej prenašajo občutljive podatke napadalcem. Ukradeni podatki lahko vključujejo gesla denarnic, gesla za denarnico in gesla za obnovitev. Nekatere različice zlonamerne programske opreme lahko prikazujejo lažne pozive za obnovitev ali sporočila o varnostnih posodobitvah, da bi uporabnike zavedle, da neposredno vnesejo gesla za denarnico.

Vztrajnost in zmogljivosti daljinskega upravljanja

Da bi ohranil dolgoročen dostop do ogroženega sistema, SHub namesti mehanizem zadnjih vrat, ki napadalcem omogoča komunikacijo z okuženo napravo. Zlonamerna programska oprema ustvari nalogo v ozadju z imenom »com.google.keystone.agent.plist«. To ime je namerno izbrano, da spominja na Googlovo legitimno storitev posodabljanja, kar zmanjšuje verjetnost odkritja.

Kadar koli se ta naloga v ozadju zažene, se zažene skriti skript, ki pošlje edinstveni identifikator strojne opreme Maca oddaljenemu strežniku in preveri navodila napadalcev. Ta zmožnost omogoča akterjem grožnje oddaljeno upravljanje naprave in izvajanje dodatnih ukazov, kadar koli je to potrebno.

Da bi se izognila opozorilu žrtve med namestitvijo, zlonamerna programska oprema prikaže zavajajoče sporočilo o napaki, v katerem piše, da aplikacija ni podprta. To sporočilo uporabnike prepriča, da namestitev ni uspela, čeprav je bila zlonamerna programska oprema že uspešno nameščena.

Distribucija s tehniko ClickFix

Primarna metoda distribucije za SHub se opira na socialni inženiring in tehniko, znano kot ClickFix. V tej kampanji napadalci ustvarijo lažno spletno mesto, ki posnema legitimno spletno mesto s programsko opremo CleanMyMac. Obiskovalcem, ki verjamejo, da prenašajo pristno aplikacijo, se namesto tega prikažejo nenavadna navodila za namestitev.

Namesto običajne namestitvene datoteke so uporabniki pozvani, da odprejo terminal macOS in prilepijo ukaz za dokončanje namestitvenega postopka. Ko se ta ukaz izvede, se prenese in zažene skriti skript, ki namesti zlonamerno programsko opremo SHub.

Zaporedje napadov se običajno odvija na naslednji način:

  • Žrtev obišče lažno spletno mesto, ki se izdaja za stran za prenos CleanMyMac.
  • Spletno mesto uporabnika naroči, naj odpre Terminal in prilepi podani ukaz kot del namestitve.
  • Z izvajanjem ukaza se prenese in zažene skriti skript, ki namesti SHub v sistem.

Ker žrtev te korake izvede ročno, lahko napad zaobide nekatera tradicionalna varnostna opozorila.

Varnostna tveganja in morebitne posledice

SHub predstavlja resno grožnjo za uporabnike macOS-a zaradi svojih obsežnih zmogljivosti zbiranja podatkov in funkcij dolgoročnega shranjevanja. Ko je nameščen, lahko neopazno zbira občutljive podatke in napadalcem omogoča stalen oddaljeni dostop do ogrožene naprave.

Žrtve te zlonamerne programske opreme se lahko soočijo z različnimi posledicami, vključno z:

  • Kraja kriptovalut iz ogroženih aplikacij za denarnice
  • Kraja identitete zaradi ukradenih osebnih podatkov in poverilnic
  • Nepooblaščen dostop do spletnih računov in storitev
  • Razkritje skrivnosti razvijalcev, kot so ključi API ali žetoni za preverjanje pristnosti

Glede na obseg informacij, ki jih lahko SHub zbere, je preprečevanje okužb ključnega pomena. Uporabniki morajo biti previdni pri prenosu programske opreme, se izogibati izvajanju ukazov iz nezanesljivih virov in preveriti, ali so spletna mesta, ki ponujajo prenose, legitimna. Zgodnje odkrivanje in takojšnja odstranitev zlonamerne programske opreme sta bistvena za preprečevanje nadaljnjega ogrožanja podatkov.

V trendu

Najbolj gledan

Nalaganje...