SHub-stjälare

Med Mezo år Mac Malware, Stjälare

Översätt till:

SHub är en sofistikerad informationsstöld som är specifikt utformad för att kompromettera macOS-system. Dess primära mål är att extrahera känslig information från webbläsare, kryptovalutaplånböcker och olika systemkomponenter. Hotet är särskilt farligt eftersom det kombinerar stöld av autentiseringsuppgifter, kryptovaluta-inriktning och ihållande åtkomstmekanismer i en enda kampanj.

Skadlig kod distribueras vanligtvis genom vilseledande metoder som lurar användare att själva utföra skadliga kommandon. När SHub är aktiv samlar den i tysthet in värdefull data och kan bibehålla långsiktig åtkomst till den infekterade enheten. På grund av omfattningen av den information den kan samla in utgör detta hot allvarliga risker, inklusive ekonomiska förluster, identitetsstöld och kontokompromettering. Omedelbar borttagning är avgörande om SHub upptäcks på ett system.

Innehållsförteckning

Initial infektion och systemverifiering

Infektionsprocessen börjar med en laddare som körs på offrets Mac. Innan hela skadlig programvaran distribueras utför laddaren flera kontroller på systemet. En av de mest anmärkningsvärda kontrollerna innebär att undersöka systemet för förekomst av en rysk tangentbordslayout. Om ett sådant tangentbord upptäcks avbryter skadlig programvaran sin körning och rapporterar denna information tillbaka till angriparna.

Om verifieringssteget lyckas samlar laddaren in och överför grundläggande systeminformation till angriparnas infrastruktur. Denna information inkluderar enhetens IP-adress, värdnamn, macOS-version och tangentbordsspråkinställningar. Denna information hjälper angriparna att profilera den infekterade maskinen innan de fortsätter med ytterligare åtgärder.

Efteråt laddar den skadliga programvaran ner ett skript förklätt till en legitim macOS-lösenordsfråga. Denna falska fråga verkar rutinmässigt be om användarens systemlösenord. Om offret anger lösenordet får angriparna möjlighet att låsa upp macOS-nyckelringen, som lagrar mycket känslig information som sparade lösenord, Wi-Fi-uppgifter och privata krypteringsnycklar.

Omfattande datainsamling från webbläsare och plånböcker

När åtkomst till systemet är säkrad börjar SHub skanna enheten efter värdefull data som lagras i webbläsare och kryptovalutaapplikationer. Skadlig programvara riktar sig mot ett brett utbud av Chromium-baserade webbläsare, inklusive Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi och Coccoc. Den riktar sig även mot Firefox.

Från dessa webbläsare extraherar den skadliga programvaran lagrade inloggningsuppgifter, cookies, autofyllningsinformation och annan profildata från alla användarprofiler. Den skadliga programvaran inspekterar också installerade webbläsartillägg i jakt på tillägg till kryptovalutaplånböcker.

SHub kan stjäla information från fler än hundra kända kryptovalutaplånböcker. Exempel inkluderar Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom och Trust Wallet. Genom att komma åt dessa tillägg kan angripare få tillgång till autentiseringstokens, åtkomstdata till plånböcker och andra känsliga uppgifter kopplade till kryptovalutakonton.

Inriktning på kryptovalutaapplikationer för datorer

Förutom webbläsarbaserade plånböcker fokuserar SHub starkt på kryptovalutaplånboksapplikationer för datorer som är installerade på systemet. Skadlig programvara samlar in data från ett stort antal plånböcker, inklusive Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite och Wasabi.

Känslig information som extraheras från dessa applikationer kan inkludera plånboksuppgifter, privata nycklar och annan autentiseringsinformation. Denna information kan göra det möjligt för angripare att få direkt kontroll över kryptovalutainnehav.

Utöver plånboksprogramvara samlar SHub även in andra former av känslig information från macOS-miljön. Den hämtar data från macOS Keychain, iCloud-kontoinformation, Safari-cookies och webbhistorik, Apple Notes-databaser och Telegram-sessionsfiler. Skadlig programvara kopierar dessutom filerna .zsh_history, .bash_history och .gitconfig. Dessa filer är särskilt värdefulla eftersom de kan innehålla API-nycklar, autentiseringstokens eller andra utvecklaruppgifter som lagras i kommandohistorik eller konfigurationsinställningar.

Plånboksmanipulation för pågående datastöld

SHub gör mer än att bara samla in lagrad information. Den kan också modifiera vissa kryptovalutaplånboksapplikationer för att upprätthålla kontinuerlig datastöld även efter den initiala komprometten.

Om skadlig programvara upptäcker plånböcker som Atomic Wallet, Exodus, Ledger Live, Ledger Wallet eller Trezor Suite, ersätter den en viktig programkomponent som kallas 'app.asar' med en skadlig version. Denna modifierade fil körs tyst i bakgrunden samtidigt som plånboksapplikationen fortsätter att fungera normalt ur användarens perspektiv.

Genom denna modifiering fortsätter de komprometterade plånboksapplikationerna att överföra känslig information till angriparna. Den stulna informationen kan inkludera plånbokslösenord, seedfraser och återställningsfraser. Vissa varianter av skadlig kod kan visa falska återställningsmeddelanden eller säkerhetsuppdateringsmeddelanden för att lura användare att ange sina seedfraser direkt.

Persistens och fjärrkontrollfunktioner

För att bibehålla långsiktig åtkomst till det komprometterade systemet installerar SHub en bakdörrsmekanism som gör det möjligt för angripare att kommunicera med den infekterade enheten. Skadlig programvara skapar en bakgrundsuppgift med namnet 'com.google.keystone.agent.plist'. Detta namn är avsiktligt valt för att likna Googles legitima uppdateringstjänst, vilket minskar sannolikheten för upptäckt.

Närhelst denna bakgrundsuppgift körs startar den ett dolt skript som skickar Mac-datorns unika hårdvaruidentifierare till en fjärrserver och söker efter instruktioner från angriparna. Denna funktion gör det möjligt för hotaktörerna att fjärrstyra enheten och utföra ytterligare kommandon när det behövs.

För att undvika att varna offret under installationen visar den skadliga programvaran ett vilseledande felmeddelande som anger att programmet inte stöds. Detta meddelande får användarna att tro att installationsprocessen misslyckades, trots att den skadliga programvaran redan har distribuerats.

Distribution via ClickFix-tekniken

Den primära distributionsmetoden för SHub bygger på social ingenjörskonst och en teknik som kallas ClickFix. I den här kampanjen skapar angripare en bedräglig webbplats som imiterar den legitima CleanMyMac-programvarusidan. Besökare som tror att de laddar ner den autentiska applikationen får istället ovanliga installationsinstruktioner.

Istället för att få en vanlig installationsfil instrueras användarna att öppna macOS Terminal och klistra in ett kommando för att slutföra installationsprocessen. När detta kommando körs laddas ner och körs ett dolt skript som installerar SHub-skadlig programvara.

Attacksekvensen utvecklas vanligtvis på följande sätt:

Offret besöker en falsk webbplats som utger sig för att vara nedladdningssidan för CleanMyMac.
Webbplatsen instruerar användaren att öppna Terminalen och klistra in ett angivet kommando som en del av installationen.
Genom att köra kommandot laddas ner och körs ett dolt skript som installerar SHub på systemet.

Eftersom offret utför dessa steg manuellt kan attacken kringgå vissa traditionella säkerhetsvarningar.

Säkerhetsrisker och potentiella konsekvenser

SHub utgör ett allvarligt hot mot macOS-användare på grund av dess omfattande datainsamlingsmöjligheter och långsiktiga beständighetsfunktioner. När den väl är installerad kan den i tysthet samla in känslig information och ge angripare kontinuerlig fjärråtkomst till den komprometterade enheten.

Offer för denna skadliga programvara kan drabbas av en mängd olika konsekvenser, inklusive:

Kryptovalutastöld från komprometterade plånboksapplikationer

Identitetsstöld till följd av stulna personuppgifter och inloggningsuppgifter

Obehörig åtkomst till onlinekonton och tjänster

Exponering av utvecklarhemligheter som API-nycklar eller autentiseringstokens

Med tanke på omfattningen av information som SHub kan samla in är det avgörande att förhindra infektion. Användare bör vara försiktiga när de laddar ner programvara, undvika att köra kommandon från opålitliga källor och kontrollera att webbplatser som erbjuder nedladdningar är legitima. Tidig upptäckt och omedelbar borttagning av skadlig kod är avgörande för att förhindra ytterligare datakompromettering.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

SHub-stjälare

Initial infektion och systemverifiering

Omfattande datainsamling från webbläsare och plånböcker

Inriktning på kryptovalutaapplikationer för datorer

Plånboksmanipulation för pågående datastöld

Persistens och fjärrkontrollfunktioner

Distribution via ClickFix-tekniken

Säkerhetsrisker och potentiella konsekvenser

skicka kommentar

Trendigt

Zareus Ransomware

Bspojzo Ransomware

Precludestore.com

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Så här fixar du "macOS kan inte verifiera att den...

Discord visar svart skärm när skärmen delas