Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mac malware SHub Stealer

SHub Stealer

Nga MezoMac malware, Vjedhësit
Përkthe në:

SHub është një program keqdashës i sofistikuar për vjedhjen e informacionit, i projektuar posaçërisht për të kompromentuar sistemet macOS. Objektivi i tij kryesor është nxjerrja e informacionit të ndjeshëm nga shfletuesit, portofolet e kriptomonedhave dhe komponentë të ndryshëm të sistemit. Kërcënimi është veçanërisht i rrezikshëm sepse kombinon vjedhjen e kredencialeve, synimin e kriptomonedhave dhe mekanizmat e vazhdueshëm të aksesit brenda një fushate të vetme.

Softueri keqdashës shpërndahet zakonisht përmes metodave mashtruese që i mashtrojnë përdoruesit që të ekzekutojnë vetë komanda keqdashëse. Pasi të aktivizohet, SHub mbledh në heshtje të dhëna të vlefshme dhe mund të ruajë akses afatgjatë në pajisjen e infektuar. Për shkak të sasisë së informacionit që mund të mbledhë, ky kërcënim paraqet rreziqe serioze, duke përfshirë humbje financiare, vjedhje identiteti dhe kompromentim llogarie. Heqja e menjëhershme e SHub është thelbësore nëse zbulohet në një sistem.

Infeksioni fillestar dhe verifikimi i sistemit

Procesi i infektimit fillon me një ngarkues që ekzekutohet në Mac-in e viktimës. Përpara se të vendosë ngarkesën e plotë të malware-it, ky ngarkues kryen disa kontrolle në sistem. Një nga kontrollet më të dukshme përfshin shqyrtimin e sistemit për praninë e një paraqitjeje tastiere ruse. Nëse zbulohet një tastierë e tillë, malware-i ndërpret ekzekutimin e tij dhe ia raporton këtë informacion sulmuesve.

Nëse faza e verifikimit është e suksesshme, ngarkuesi mbledh dhe transmeton detajet bazë të sistemit në infrastrukturën e sulmuesve. Këto detaje përfshijnë adresën IP të pajisjes, emrin e hostit, versionin e macOS dhe cilësimet e gjuhës së tastierës. Ky informacion i ndihmon sulmuesit të profilizojnë makinën e infektuar përpara se të vazhdojnë me veprime të mëtejshme.

Më pas, programi keqdashës shkarkon një skript të maskuar si një kërkesë legjitime për fjalëkalimin e macOS. Kjo kërkesë e rreme duket se kërkon fjalëkalimin e sistemit të përdoruesit në një mënyrë rutinore. Nëse viktima fut fjalëkalimin, sulmuesit fitojnë mundësinë për të zhbllokuar macOS Keychain, i cili ruan informacione shumë të ndjeshme, të tilla si fjalëkalimet e ruajtura, kredencialet e Wi-Fi dhe çelësat privatë të enkriptimit.

Mbledhje e gjerë e të dhënave nga shfletuesit dhe portofolet

Pasi të sigurohet qasja në sistem, SHub fillon të skanojë pajisjen për të dhëna të vlefshme të ruajtura në shfletuesit e internetit dhe aplikacionet e kriptomonedhave. Malware synon një gamë të gjerë shfletuesish të bazuar në Chromium, duke përfshirë Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi dhe Coccoc. Ai gjithashtu synon Firefox.

Nga këta shfletues, programi keqdashës nxjerr kredencialet e ruajtura, cookie-t, informacionin e plotësimit automatik dhe të dhëna të tjera të profilit në të gjitha profilet e përdoruesve. Programi keqdashës gjithashtu inspekton zgjerimet e instaluara të shfletuesit në kërkim të zgjerimeve të portofolit të kriptomonedhave.

SHub është i aftë të vjedhë informacione nga më shumë se njëqind portofole të njohura të kriptomonedhave. Shembujt përfshijnë Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom dhe Trust Wallet. Duke hyrë në këto zgjerime, sulmuesit mund të marrin tokena autentifikimi, të dhëna për hyrje në portofol dhe detaje të tjera të ndjeshme të lidhura me llogaritë e kriptomonedhave.

Synimi i Aplikacioneve të Kriptomonedhave për Desktop

Përveç portofoleve të bazuara në shfletues, SHub përqendrohet shumë në aplikacionet e portofoleve të kriptomonedhave për desktop të instaluara në sistem. Malware mbledh të dhëna nga një numër i madh portofolesh, duke përfshirë Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite dhe Wasabi.

Të dhënat e ndjeshme të nxjerra nga këto aplikacione mund të përfshijnë kredencialet e portofolit, çelësat privatë dhe informacione të tjera të vërtetimit. Këto të dhëna mund t'u mundësojnë sulmuesve të fitojnë kontroll të drejtpërdrejtë mbi zotërimet e kriptomonedhave.

Përtej softuerit të portofolit, SHub mbledh edhe forma të tjera të informacionit të ndjeshëm nga mjedisi macOS. Ai merr të dhëna nga macOS Keychain, informacioni i llogarisë iCloud, cookie-t dhe historiku i shfletimit të Safari, bazat e të dhënave të Apple Notes dhe skedarët e sesioneve të Telegram. Malware kopjon gjithashtu skedarët .zsh_history, .bash_history dhe .gitconfig. Këto skedarë janë veçanërisht të vlefshëm sepse mund të përmbajnë çelësa API, tokena vërtetimi ose kredenciale të tjera të zhvilluesit të ruajtura në historikun e komandave ose cilësimet e konfigurimit.

Manipulimi i Portofolit për Vjedhje të Vazhdueshme të të Dhënave

SHub bën më shumë sesa thjesht mbledh informacionin e ruajtur. Ai gjithashtu mund të modifikojë disa aplikacione të portofoleve të kriptomonedhave në mënyrë që të vazhdojë vjedhja e vazhdueshme e të dhënave edhe pas kompromentimit fillestar.

Nëse programi keqdashës zbulon portofolet si Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ose Trezor Suite, ai zëvendëson një komponent kyç të aplikacionit të njohur si 'app.asar' me një version keqdashës. Ky skedar i modifikuar funksionon në heshtje në sfond, duke lejuar që aplikacioni i portofolit të vazhdojë të funksionojë normalisht nga perspektiva e përdoruesit.

Përmes këtij modifikimi, aplikacionet e portofolit të kompromentuar vazhdojnë të transmetojnë informacione të ndjeshme te sulmuesit. Të dhënat e vjedhura mund të përfshijnë fjalëkalime të portofolit, fraza fillestare dhe fraza rikuperimi. Disa variante të malware-it janë të afta të shfaqin kërkesa të rreme rikuperimi ose mesazhe përditësimi sigurie për të mashtruar përdoruesit që të fusin direkt frazat e tyre fillestare.

Kapacitetet e Qëndrueshmërisë dhe Kontrollit në Distancë

Për të ruajtur aksesin afatgjatë në sistemin e kompromentuar, SHub instalon një mekanizëm të pasmë që u mundëson sulmuesve të komunikojnë me pajisjen e infektuar. Malware krijon një detyrë në sfond të quajtur 'com.google.keystone.agent.plist'. Ky emër është zgjedhur qëllimisht për t'iu ngjarë shërbimit legjitim të përditësimit të Google, duke zvogëluar mundësinë e zbulimit.

Sa herë që ekzekutohet kjo detyrë në sfond, ajo nis një skript të fshehur që dërgon identifikuesin unik të harduerit të Mac në një server të largët dhe kontrollon për udhëzime nga sulmuesit. Kjo aftësi u lejon aktorëve kërcënues të kontrollojnë nga distanca pajisjen dhe të ekzekutojnë komanda shtesë sa herë që është e nevojshme.

Për të shmangur njoftimin e viktimës gjatë instalimit, programi keqdashës shfaq një mesazh gabimi mashtrues që deklaron se aplikacioni nuk mbështetet. Ky mesazh i bën përdoruesit të besojnë se procesi i instalimit dështoi, edhe pse programi keqdashës është vendosur tashmë me sukses.

Shpërndarja përmes teknikës ClickFix

Metoda kryesore e shpërndarjes për SHub mbështetet në inxhinierinë sociale dhe një teknikë të njohur si ClickFix. Në këtë fushatë, sulmuesit krijojnë një faqe interneti mashtruese që imiton faqen legjitime të softuerit CleanMyMac. Vizitorëve që besojnë se po shkarkojnë aplikacionin autentik u paraqiten në vend të kësaj udhëzime të pazakonta instalimi.

Në vend që të marrin një skedar instalimi normal, përdoruesve u udhëzohet të hapin Terminalin macOS dhe të ngjisin një komandë për të përfunduar procesin e instalimit. Kur ekzekutohet kjo komandë, ajo shkarkon dhe ekzekuton një skript të fshehur që instalon malware-in SHub.

Sekuenca e sulmit zakonisht zhvillohet në këtë mënyrë:

  • Viktima viziton një faqe interneti të rreme që imiton faqen e shkarkimit të CleanMyMac.
  • Sajti i udhëzon përdoruesit të hapë Terminalin dhe të ngjisë një komandë të dhënë si pjesë të instalimit.
  • Ekzekutimi i komandës shkarkon dhe ekzekuton një skript të fshehur që instalon SHub në sistem.

Meqenëse viktima i kryen këto hapa manualisht, sulmi mund të anashkalojë disa paralajmërime tradicionale të sigurisë.

Rreziqet e Sigurisë dhe Pasojat e Potenciale

SHub përfaqëson një kërcënim serioz për përdoruesit e macOS për shkak të aftësive të tij të gjera të mbledhjes së të dhënave dhe veçorive të qëndrueshmërisë afatgjatë. Pasi të instalohet, ai mund të mbledhë në heshtje informacione të ndjeshme dhe t'u ofrojë sulmuesve akses të vazhdueshëm në distancë në pajisjen e kompromentuar.

Viktimat e këtij programi keqdashës mund të përballen me një sërë pasojash, duke përfshirë:

  • Vjedhja e kriptomonedhave nga aplikacionet e portofolit të kompromentuar
  • Vjedhja e identitetit që rezulton nga vjedhja e të dhënave personale dhe kredencialeve
  • Qasje e paautorizuar në llogaritë dhe shërbimet online
  • Ekspozimi i sekreteve të zhvilluesve, siç janë çelësat API ose tokenët e autentifikimit

Duke pasur parasysh shkallën e informacionit që SHub mund të mbledhë, parandalimi i infeksionit është kritik. Përdoruesit duhet të qëndrojnë të kujdesshëm kur shkarkojnë softuerë, të shmangin ekzekutimin e komandave nga burime të pabesueshme dhe të verifikojnë që faqet e internetit që ofrojnë shkarkime janë të ligjshme. Zbulimi i hershëm dhe heqja e menjëhershme e malware-it janë thelbësore për të parandaluar kompromentimin e mëtejshëm të të dhënave.

Në trend

Më e shikuara

Po ngarkohet...