SHub Stealer

SHub అనేది MacOS వ్యవస్థలను రాజీ చేయడానికి ప్రత్యేకంగా రూపొందించబడిన అధునాతన సమాచార-దొంగిలించే మాల్వేర్. బ్రౌజర్‌లు, క్రిప్టోకరెన్సీ వాలెట్‌లు మరియు వివిధ సిస్టమ్ భాగాల నుండి సున్నితమైన సమాచారాన్ని సేకరించడం దీని ప్రాథమిక లక్ష్యం. ఈ ముప్పు ముఖ్యంగా ప్రమాదకరమైనది ఎందుకంటే ఇది ఒకే ప్రచారంలో క్రెడెన్షియల్ దొంగతనం, క్రిప్టోకరెన్సీ టార్గెటింగ్ మరియు నిరంతర యాక్సెస్ విధానాలను మిళితం చేస్తుంది.

ఈ మాల్వేర్ సాధారణంగా మోసపూరిత పద్ధతుల ద్వారా వ్యాప్తి చెందుతుంది, ఇవి వినియోగదారులను మోసపూరిత ఆదేశాలను అమలు చేసేలా మోసగిస్తాయి. ఒకసారి యాక్టివ్ అయిన తర్వాత, SHub నిశ్శబ్దంగా విలువైన డేటాను సేకరిస్తుంది మరియు సోకిన పరికరానికి దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించగలదు. ఇది సేకరించగల సమాచారం యొక్క పరిధి కారణంగా, ఈ ముప్పు ఆర్థిక నష్టాలు, గుర్తింపు దొంగతనం మరియు ఖాతా రాజీ వంటి తీవ్రమైన ప్రమాదాలను కలిగిస్తుంది. సిస్టమ్‌లో SHub కనుగొనబడితే వెంటనే తొలగించడం చాలా అవసరం.

ప్రారంభ ఇన్ఫెక్షన్ మరియు సిస్టమ్ ధృవీకరణ

బాధితుడి Macలో అమలు అయ్యే లోడర్‌తో ఇన్ఫెక్షన్ ప్రక్రియ ప్రారంభమవుతుంది. పూర్తి మాల్వేర్ పేలోడ్‌ను అమలు చేయడానికి ముందు, ఈ లోడర్ సిస్టమ్‌లో అనేక తనిఖీలను నిర్వహిస్తుంది. అత్యంత ముఖ్యమైన తనిఖీలలో ఒకటి రష్యన్ కీబోర్డ్ లేఅవుట్ ఉనికి కోసం సిస్టమ్‌ను పరిశీలించడం. అటువంటి కీబోర్డ్ కనుగొనబడితే, మాల్వేర్ దాని అమలును ముగించి, ఈ సమాచారాన్ని దాడి చేసేవారికి తిరిగి నివేదిస్తుంది.

ధృవీకరణ దశ విజయవంతమైతే, లోడర్ ప్రాథమిక సిస్టమ్ వివరాలను సేకరించి దాడి చేసేవారి మౌలిక సదుపాయాలకు ప్రసారం చేస్తుంది. ఈ వివరాలలో పరికరం యొక్క IP చిరునామా, హోస్ట్ పేరు, macOS వెర్షన్ మరియు కీబోర్డ్ భాషా సెట్టింగ్‌లు ఉంటాయి. ఈ సమాచారం దాడి చేసేవారు తదుపరి చర్యలతో ముందుకు సాగే ముందు సోకిన యంత్రాన్ని ప్రొఫైల్ చేయడానికి సహాయపడుతుంది.

తరువాత, మాల్వేర్ చట్టబద్ధమైన మాకోస్ పాస్‌వర్డ్ ప్రాంప్ట్ వలె మారువేషంలో ఉన్న స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేస్తుంది. ఈ నకిలీ ప్రాంప్ట్ వినియోగదారు యొక్క సిస్టమ్ పాస్‌వర్డ్‌ను సాధారణ పద్ధతిలో అభ్యర్థిస్తున్నట్లు కనిపిస్తుంది. బాధితుడు పాస్‌వర్డ్‌ను నమోదు చేస్తే, దాడి చేసేవారు మాకోస్ కీచైన్‌ను అన్‌లాక్ చేసే సామర్థ్యాన్ని పొందుతారు, ఇది సేవ్ చేసిన పాస్‌వర్డ్‌లు, Wi-Fi ఆధారాలు మరియు ప్రైవేట్ ఎన్‌క్రిప్షన్ కీలు వంటి అత్యంత సున్నితమైన సమాచారాన్ని నిల్వ చేస్తుంది.

బ్రౌజర్‌లు మరియు వాలెట్‌ల నుండి విస్తృతమైన డేటా సేకరణ

సిస్టమ్‌కు యాక్సెస్ సురక్షితం అయిన తర్వాత, SHub వెబ్ బ్రౌజర్‌లు మరియు క్రిప్టోకరెన్సీ అప్లికేషన్‌లలో నిల్వ చేయబడిన విలువైన డేటా కోసం పరికరాన్ని స్కాన్ చేయడం ప్రారంభిస్తుంది. ఈ మాల్వేర్ Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi మరియు Coccoc వంటి విస్తృత శ్రేణి Chromium-ఆధారిత బ్రౌజర్‌లను లక్ష్యంగా చేసుకుంటుంది. ఇది Firefoxను కూడా లక్ష్యంగా చేసుకుంటుంది.

ఈ బ్రౌజర్‌ల నుండి, మాల్వేర్ అన్ని యూజర్ ప్రొఫైల్‌లలో నిల్వ చేసిన ఆధారాలు, కుక్కీలు, ఆటోఫిల్ సమాచారం మరియు ఇతర ప్రొఫైల్ డేటాను సంగ్రహిస్తుంది. క్రిప్టోకరెన్సీ వాలెట్ ఎక్స్‌టెన్షన్‌ల కోసం వెతుకుతూ ఇన్‌స్టాల్ చేయబడిన బ్రౌజర్ ఎక్స్‌టెన్షన్‌లను కూడా మాల్వేర్ తనిఖీ చేస్తుంది.

SHub వందకు పైగా తెలిసిన క్రిప్టోకరెన్సీ వాలెట్ల నుండి సమాచారాన్ని దొంగిలించగలదు. ఉదాహరణలలో Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom మరియు Trust Wallet ఉన్నాయి. ఈ పొడిగింపులను యాక్సెస్ చేయడం ద్వారా, దాడి చేసేవారు ప్రామాణీకరణ టోకెన్‌లు, వాలెట్ యాక్సెస్ డేటా మరియు క్రిప్టోకరెన్సీ ఖాతాలకు సంబంధించిన ఇతర సున్నితమైన వివరాలను పొందవచ్చు.

డెస్క్‌టాప్ క్రిప్టోకరెన్సీ అప్లికేషన్‌లను లక్ష్యంగా చేసుకోవడం

బ్రౌజర్ ఆధారిత వాలెట్లతో పాటు, సిస్టమ్‌లో ఇన్‌స్టాల్ చేయబడిన డెస్క్‌టాప్ క్రిప్టోకరెన్సీ వాలెట్ అప్లికేషన్‌లపై SHub ఎక్కువగా దృష్టి పెడుతుంది. ఈ మాల్వేర్ అటామిక్ వాలెట్, బైనాన్స్, బిట్‌కాయిన్ కోర్, బ్లూవాలెట్, కాయినోమి, డాగ్‌కాయిన్ కోర్, ఎలక్ట్రమ్, ఎక్సోడస్, గార్డా, లెడ్జర్ లైవ్, లెడ్జర్ వాలెట్, లిట్‌కాయిన్ కోర్, మోనెరో, స్పారో, టన్ కీపర్, ట్రెజర్ సూట్ మరియు వాసాబి వంటి పెద్ద సంఖ్యలో వాలెట్ల నుండి డేటాను సేకరిస్తుంది.

ఈ అప్లికేషన్ల నుండి సంగ్రహించబడిన సున్నితమైన డేటాలో వాలెట్ ఆధారాలు, ప్రైవేట్ కీలు మరియు ఇతర ప్రామాణీకరణ సమాచారం ఉండవచ్చు. ఈ డేటా దాడి చేసేవారికి క్రిప్టోకరెన్సీ హోల్డింగ్‌లపై ప్రత్యక్ష నియంత్రణ పొందడానికి వీలు కల్పిస్తుంది.

వాలెట్ సాఫ్ట్‌వేర్‌తో పాటు, SHub మాకోస్ వాతావరణం నుండి ఇతర రకాల సున్నితమైన సమాచారాన్ని కూడా సేకరిస్తుంది. ఇది మాకోస్ కీచైన్, ఐక్లౌడ్ ఖాతా సమాచారం, సఫారీ కుక్కీలు మరియు బ్రౌజింగ్ చరిత్ర, ఆపిల్ నోట్స్ డేటాబేస్‌లు మరియు టెలిగ్రామ్ సెషన్ ఫైల్‌ల నుండి డేటాను తిరిగి పొందుతుంది. మాల్వేర్ అదనంగా .zsh_history, .bash_history మరియు .gitconfig ఫైల్‌లను కాపీ చేస్తుంది. ఈ ఫైల్‌లు ముఖ్యంగా విలువైనవి ఎందుకంటే అవి API కీలు, ప్రామాణీకరణ టోకెన్‌లు లేదా కమాండ్ హిస్టరీలు లేదా కాన్ఫిగరేషన్ సెట్టింగ్‌లలో నిల్వ చేయబడిన ఇతర డెవలపర్ ఆధారాలను కలిగి ఉండవచ్చు.

కొనసాగుతున్న డేటా దొంగతనం కోసం వాలెట్ మానిప్యులేషన్

SHub నిల్వ చేసిన సమాచారాన్ని సేకరించడం కంటే ఎక్కువ చేస్తుంది. ప్రారంభ రాజీ తర్వాత కూడా నిరంతర డేటా దొంగతనాన్ని నిర్వహించడానికి ఇది కొన్ని క్రిప్టోకరెన్సీ వాలెట్ అప్లికేషన్‌లను కూడా సవరించగలదు.

మాల్వేర్ అటామిక్ వాలెట్, ఎక్సోడస్, లెడ్జర్ లైవ్, లెడ్జర్ వాలెట్ లేదా ట్రెజర్ సూట్ వంటి వాలెట్లను గుర్తిస్తే, అది 'app.asar' అని పిలువబడే కీలక అప్లికేషన్ భాగాన్ని హానికరమైన వెర్షన్‌తో భర్తీ చేస్తుంది. ఈ సవరించిన ఫైల్ నేపథ్యంలో నిశ్శబ్దంగా పనిచేస్తుంది, అదే సమయంలో వాలెట్ అప్లికేషన్ వినియోగదారు దృష్టికోణం నుండి సాధారణంగా పనిచేయడానికి అనుమతిస్తుంది.

ఈ సవరణ ద్వారా, రాజీపడిన వాలెట్ అప్లికేషన్లు దాడి చేసేవారికి సున్నితమైన సమాచారాన్ని ప్రసారం చేస్తూనే ఉంటాయి. దొంగిలించబడిన డేటాలో వాలెట్ పాస్‌వర్డ్‌లు, సీడ్ పదబంధాలు మరియు రికవరీ పదబంధాలు ఉండవచ్చు. మాల్వేర్ యొక్క కొన్ని రకాలు నకిలీ రికవరీ ప్రాంప్ట్‌లు లేదా భద్రతా నవీకరణ సందేశాలను ప్రదర్శించగలవు, తద్వారా వినియోగదారులు వారి సీడ్ పదబంధాలను నేరుగా నమోదు చేసేలా మోసగించబడతారు.

నిలకడ మరియు రిమోట్ కంట్రోల్ సామర్థ్యాలు

రాజీపడిన సిస్టమ్‌కు దీర్ఘకాలిక యాక్సెస్‌ను నిర్వహించడానికి, SHub ఒక బ్యాక్‌డోర్ మెకానిజమ్‌ను ఇన్‌స్టాల్ చేస్తుంది, ఇది దాడి చేసేవారు సోకిన పరికరంతో కమ్యూనికేట్ చేయడానికి వీలు కల్పిస్తుంది. మాల్వేర్ 'com.google.keystone.agent.plist' అనే నేపథ్య పనిని సృష్టిస్తుంది. ఈ పేరు ఉద్దేశపూర్వకంగా Google యొక్క చట్టబద్ధమైన నవీకరణ సేవను పోలి ఉండేలా ఎంచుకోబడింది, ఇది గుర్తించే సంభావ్యతను తగ్గిస్తుంది.

ఈ బ్యాక్‌గ్రౌండ్ టాస్క్ నడుస్తున్నప్పుడల్లా, ఇది Mac యొక్క ప్రత్యేకమైన హార్డ్‌వేర్ ఐడెంటిఫైయర్‌ను రిమోట్ సర్వర్‌కు పంపే దాచిన స్క్రిప్ట్‌ను ప్రారంభిస్తుంది మరియు దాడి చేసేవారి నుండి సూచనల కోసం తనిఖీ చేస్తుంది. ఈ సామర్థ్యం ముప్పు నటులు పరికరాన్ని రిమోట్‌గా నియంత్రించడానికి మరియు అవసరమైనప్పుడు అదనపు ఆదేశాలను అమలు చేయడానికి అనుమతిస్తుంది.

ఇన్‌స్టాలేషన్ సమయంలో బాధితుడిని అప్రమత్తం చేయకుండా ఉండటానికి, మాల్వేర్ అప్లికేషన్‌కు మద్దతు లేదని పేర్కొంటూ మోసపూరిత దోష సందేశాన్ని ప్రదర్శిస్తుంది. ఈ సందేశం మాల్వేర్ ఇప్పటికే విజయవంతంగా అమలు చేయబడినప్పటికీ, ఇన్‌స్టాలేషన్ ప్రక్రియ విఫలమైందని వినియోగదారులను నమ్మేలా చేస్తుంది.

క్లిక్‌ఫిక్స్ టెక్నిక్ ద్వారా పంపిణీ

SHub యొక్క ప్రాథమిక పంపిణీ పద్ధతి సోషల్ ఇంజనీరింగ్ మరియు ClickFix అని పిలువబడే సాంకేతికతపై ఆధారపడి ఉంటుంది. ఈ ప్రచారంలో, దాడి చేసేవారు చట్టబద్ధమైన CleanMyMac సాఫ్ట్‌వేర్ సైట్‌ను అనుకరించే మోసపూరిత వెబ్‌సైట్‌ను సృష్టిస్తారు. ప్రామాణికమైన అప్లికేషన్‌ను డౌన్‌లోడ్ చేసుకుంటున్నామని నమ్మే సందర్శకులకు బదులుగా అసాధారణ ఇన్‌స్టాలేషన్ సూచనలు అందించబడతాయి.

సాధారణ ఇన్‌స్టాలర్ ఫైల్‌ను స్వీకరించడానికి బదులుగా, వినియోగదారులు macOS టెర్మినల్‌ను తెరిచి, ఇన్‌స్టాలేషన్ ప్రక్రియను పూర్తి చేయడానికి ఒక కమాండ్‌ను అతికించమని సూచించబడతారు. ఈ కమాండ్ అమలు చేయబడినప్పుడు, ఇది SHub మాల్వేర్‌ను ఇన్‌స్టాల్ చేసే దాచిన స్క్రిప్ట్‌ను డౌన్‌లోడ్ చేసి అమలు చేస్తుంది.

దాడి క్రమం సాధారణంగా ఈ క్రింది విధంగా విస్తరిస్తుంది:

• బాధితుడు CleanMyMac డౌన్‌లోడ్ పేజీని అనుకరిస్తూ నకిలీ వెబ్‌సైట్‌ను సందర్శిస్తాడు.
• ఈ సైట్ వినియోగదారుని టెర్మినల్ తెరిచి, ఇన్‌స్టాలేషన్‌లో భాగంగా అందించిన ఆదేశాన్ని అతికించమని నిర్దేశిస్తుంది.
• ఆదేశాన్ని అమలు చేయడం వలన సిస్టమ్‌లో SHubని ఇన్‌స్టాల్ చేసే దాచిన స్క్రిప్ట్ డౌన్‌లోడ్ అవుతుంది మరియు అమలు అవుతుంది.

బాధితుడు ఈ దశలను మానవీయంగా చేయడం వలన, దాడి కొన్ని సాంప్రదాయ భద్రతా హెచ్చరికలను దాటవేయగలదు.

భద్రతా ప్రమాదాలు మరియు సంభావ్య పరిణామాలు

SHub దాని విస్తృతమైన డేటా సేకరణ సామర్థ్యాలు మరియు దీర్ఘకాలిక నిలకడ లక్షణాల కారణంగా macOS వినియోగదారులకు తీవ్రమైన ముప్పును కలిగిస్తుంది. ఒకసారి ఇన్‌స్టాల్ చేసిన తర్వాత, ఇది సున్నితమైన సమాచారాన్ని నిశ్శబ్దంగా సేకరించగలదు మరియు దాడి చేసేవారికి రాజీపడిన పరికరానికి నిరంతర రిమోట్ యాక్సెస్‌ను అందిస్తుంది.

ఈ మాల్వేర్ బాధితులు అనేక రకాల పరిణామాలను ఎదుర్కోవలసి ఉంటుంది, వాటిలో:

• రాజీపడిన వాలెట్ అప్లికేషన్ల నుండి క్రిప్టోకరెన్సీ దొంగతనం

• వ్యక్తిగత డేటా మరియు ఆధారాలను దొంగిలించడం వల్ల కలిగే గుర్తింపు దొంగతనం

• ఆన్‌లైన్ ఖాతాలు మరియు సేవలకు అనధికార ప్రాప్యత

• API కీలు లేదా ప్రామాణీకరణ టోకెన్లు వంటి డెవలపర్ రహస్యాలను బహిర్గతం చేయడం

SHub సేకరించగల సమాచారం యొక్క పరిమాణాన్ని బట్టి, ఇన్ఫెక్షన్‌ను నివారించడం చాలా ముఖ్యం. సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేసేటప్పుడు వినియోగదారులు జాగ్రత్తగా ఉండాలి, నమ్మదగని మూలాల నుండి ఆదేశాలను అమలు చేయకుండా ఉండాలి మరియు డౌన్‌లోడ్‌లను అందించే వెబ్‌సైట్‌లు చట్టబద్ధమైనవని ధృవీకరించాలి. మరింత డేటా రాజీ పడకుండా నిరోధించడానికి మాల్వేర్‌ను ముందస్తుగా గుర్తించడం మరియు వెంటనే తొలగించడం చాలా అవసరం.