Попуст за више лиценци
Тхреат Датабасе Мац малвер Крадљивац SHub

Крадљивац SHub

До Mezo. у Мац малвер, Крадљивци
Преведи на:

SHub је софистицирани малвер за крађу информација, посебно дизајниран да угрози macOS системе. Његов примарни циљ је извлачење осетљивих информација из прегледача, криптовалутних новчаника и разних системских компоненти. Претња је посебно опасна јер комбинује крађу акредитива, циљање криптовалута и механизме сталног приступа у оквиру једне кампање.

Злонамерни софтвер се обично дистрибуира обмањујућим методама које варају кориснике да сами извршавају злонамерне команде. Једном када је активан, SHub неприметно прикупља вредне податке и може одржавати дугорочни приступ зараженом уређају. Због обима информација које може да прикупи, ова претња представља озбиљне ризике, укључујући финансијске губитке, крађу идентитета и компромитовање налога. Непосредно уклањање је неопходно ако се SHub открије на систему.

Почетна инфекција и верификација система

Процес инфекције почиње програмом за учитавање који се извршава на Mac рачунару жртве. Пре него што инсталира комплетан пакет злонамерног софтвера, овај програм за учитавање врши неколико провера на систему. Једна од најзначајнијих провера укључује испитивање система на присуство руског распореда тастатуре. Ако се открије таква тастатура, злонамерни софтвер прекида своје извршавање и пријављује ове информације нападачима.

Ако је фаза верификације успешна, програм за учитавање података прикупља и преноси основне системске детаље инфраструктури нападача. Ови детаљи укључују IP адресу уређаја, име хоста, верзију macOS-а и подешавања језика тастатуре. Ове информације помажу нападачима да профилишу заражени рачунар пре него што наставе са даљим акцијама.

Након тога, злонамерни софтвер преузима скрипту прикривену као легитиман захтев за лозинку за macOS. Овај лажни захтев изгледа као да рутински захтева лозинку корисника. Ако жртва унесе лозинку, нападачи добијају могућност да откључају macOS привезак кључева, који чува веома осетљиве информације као што су сачуване лозинке, Wi-Fi акредитиви и приватни кључеви за шифровање.

Опсежно прикупљање података из прегледача и новчаника

Када је приступ систему обезбеђен, SHub почиње да скенира уређај у потрази за вредним подацима сачуваним у веб прегледачима и апликацијама за криптовалуте. Злонамерни софтвер циља широк спектар прегледача заснованих на Chromium-у, укључујући Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi и Coccoc. Такође циља и Firefox.

Из ових прегледача, злонамерни софтвер извлачи сачуване акредитиве, колачиће, информације о аутоматском попуњавању и друге податке профила у свим корисничким профилима. Злонамерни софтвер такође прегледа инсталирана проширења прегледача у потрази за проширењима за криптовалутне новчанике.

SHub је способан да украде информације из више од стотину познатих криптовалутних новчаника. Примери укључују Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom и Trust Wallet. Приступањем овим екстензијама, нападачи могу добити токене за аутентификацију, податке о приступу новчанику и друге осетљиве детаље везане за криптовалутне налоге.

Циљање десктоп апликација за криптовалуте

Поред новчаника заснованих на прегледачу, SHub се у великој мери фокусира на десктоп апликације за криптовалуте инсталиране на систему. Злонамерни софтвер прикупља податке из великог броја новчаника, укључујући Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite и Wasabi.

Осетљиви подаци извучени из ових апликација могу да укључују акредитиве за новчаник, приватне кључеве и друге информације за аутентификацију. Ови подаци могу омогућити нападачима да стекну директну контролу над криптовалутама.

Поред софтвера за новчанике, SHub такође прикупља друге облике осетљивих информација из macOS окружења. Преузима податке из macOS привеска за кључеве, информације о iCloud налогу, колачиће и историју прегледања у Safari-ју, базе података Apple Notes-а и датотеке сесије Telegram-а. Злонамерни софтвер додатно копира датотеке .zsh_history, .bash_history и .gitconfig. Ове датотеке су посебно вредне јер могу да садрже API кључеве, токене за аутентификацију или друге програмерске акредитиве сачуване у историји команди или подешавањима конфигурације.

Манипулација новчаником за континуирану крађу података

SHub ради више од пуког прикупљања сачуваних информација. Такође може да модификује одређене апликације за криптовалутни новчаник како би одржао континуирану крађу података чак и након почетног компромитовања.

Ако злонамерни софтвер открије новчанике као што су Atomic Wallet, Exodus, Ledger Live, Ledger Wallet или Trezor Suite, он замењује кључну компоненту апликације познату као „app.asar“ злонамерном верзијом. Ова модификована датотека тихо ради у позадини, док омогућава апликацији новчаника да настави нормално да функционише из перспективе корисника.

Овом модификацијом, компромитоване апликације за новчанике настављају да преносе осетљиве информације нападачима. Украдени подаци могу да укључују лозинке за новчанике, почетне фразе и фразе за опоравак. Неке варијанте злонамерног софтвера могу да приказују лажне упите за опоравак или поруке о безбедносним ажурирањима како би превариле кориснике да директно унесу своје почетне фразе.

Упорност и могућности даљинског управљања

Да би одржао дугорочни приступ компромитованом систему, SHub инсталира механизам за откривање грешака који омогућава нападачима да комуницирају са зараженим уређајем. Злонамерни софтвер креира позадински задатак под називом „com.google.keystone.agent.plist“. Ово име је намерно изабрано да подсећа на легитимну услугу ажурирања компаније Google, смањујући вероватноћу откривања.

Кад год се овај позадински задатак покрене, он покреће скривени скрипт који шаље јединствени идентификатор хардвера Mac-а удаљеном серверу и проверава упутства од нападача. Ова могућност омогућава актерима претње да даљински контролишу уређај и извршавају додатне команде кад год је то потребно.

Да би избегао упозоравање жртве током инсталације, злонамерни софтвер приказује обмањујућу поруку о грешци у којој се наводи да апликација није подржана. Ова порука наводи кориснике да верују да процес инсталације није успео, иако је злонамерни софтвер већ успешно инсталиран.

Дистрибуција путем ClickFix технике

Примарни метод дистрибуције за SHub ослања се на друштвени инжењеринг и технику познату као ClickFix. У овој кампањи, нападачи креирају лажну веб страницу која имитира легитимну веб страницу софтвера CleanMyMac. Посетиоцима који верују да преузимају аутентичну апликацију уместо тога се приказују необична упутства за инсталацију.

Уместо да приме нормалну датотеку за инсталацију, корисницима се налаже да отворе macOS терминал и налепе команду да би завршили процес инсталације. Када се ова команда изврши, она преузима и покреће скривени скрипт који инсталира злонамерни софтвер SHub.

Редослед напада се обично одвија на следећи начин:

  • Жртва посећује лажну веб страницу која се представља као страница за преузимање програма CleanMyMac.
  • Сајт налаже кориснику да отвори Терминал и налепи дату команду као део инсталације.
  • Извршавањем команде се преузима и покреће скривени скрипт који инсталира SHub на систем.

Пошто жртва ове кораке обавља ручно, напад може заобићи нека традиционална безбедносна упозорења.

Безбедносни ризици и потенцијалне последице

SHub представља озбиљну претњу за кориснике macOS-а због својих опсежних могућности прикупљања података и функција дугорочне перзистентности. Једном инсталиран, може неприметно прикупљати осетљиве информације и пружати нападачима континуирани даљински приступ угроженом уређају.

Жртве овог злонамерног софтвера могу се суочити са разним последицама, укључујући:

  • Крађа криптовалута из компромитованих апликација за новчанике
  • Крађа идентитета услед крађе личних података и акредитива
  • Неовлашћени приступ онлајн налозима и услугама
  • Откривање тајни програмера као што су API кључеви или токени за аутентификацију

С обзиром на обим информација које SHub може да прикупи, спречавање инфекције је кључно. Корисници треба да буду опрезни приликом преузимања софтвера, да избегавају извршавање команди из непоузданих извора и да провере да ли су веб странице које нуде преузимања легитимне. Рано откривање и тренутно уклањање злонамерног софтвера су неопходни како би се спречило даље угрожавање података.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
22,143
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...