สตีลเลอร์ SHub
SHub เป็นมัลแวร์ขโมยข้อมูลที่ซับซ้อนซึ่งออกแบบมาโดยเฉพาะเพื่อโจมตีระบบ macOS เป้าหมายหลักคือการดึงข้อมูลสำคัญจากเบราว์เซอร์ กระเป๋าเงินคริปโตเคอร์เรนซี และส่วนประกอบต่างๆ ของระบบ ภัยคุกคามนี้อันตรายเป็นพิเศษเพราะมันรวมการขโมยข้อมูลประจำตัว การโจมตีคริปโตเคอร์เรนซี และกลไกการเข้าถึงอย่างต่อเนื่องไว้ในแคมเปญเดียว
มัลแวร์ชนิดนี้มักแพร่กระจายผ่านวิธีการหลอกลวงที่ทำให้ผู้ใช้เผลอไปรันคำสั่งที่เป็นอันตรายเอง เมื่อทำงานแล้ว SHub จะรวบรวมข้อมูลสำคัญโดยไม่ให้ใครรู้ และสามารถเข้าถึงอุปกรณ์ที่ติดมัลแวร์ได้ในระยะยาว เนื่องจากปริมาณข้อมูลที่มันสามารถรวบรวมได้ ภัยคุกคามนี้จึงก่อให้เกิดความเสี่ยงร้ายแรง รวมถึงการสูญเสียทางการเงิน การขโมยข้อมูลส่วนบุคคล และการถูกบุกรุกบัญชี การกำจัด SHub ออกทันทีจึงเป็นสิ่งสำคัญหากตรวจพบในระบบ
สารบัญ
การติดเชื้อเบื้องต้นและการตรวจสอบระบบ
กระบวนการติดเชื้อเริ่มต้นด้วยโปรแกรมโหลดเดอร์ที่จะทำงานบนเครื่อง Mac ของเหยื่อ ก่อนที่จะปล่อยมัลแวร์เต็มรูปแบบ โปรแกรมโหลดเดอร์นี้จะทำการตรวจสอบระบบหลายอย่าง หนึ่งในการตรวจสอบที่สำคัญที่สุดคือการตรวจสอบระบบว่ามีเค้าโครงแป้นพิมพ์ภาษารัสเซียหรือไม่ หากตรวจพบแป้นพิมพ์ดังกล่าว มัลแวร์จะหยุดการทำงานและรายงานข้อมูลนี้กลับไปยังผู้โจมตี
หากขั้นตอนการตรวจสอบสำเร็จ ตัวโหลดจะรวบรวมและส่งรายละเอียดระบบพื้นฐานไปยังโครงสร้างพื้นฐานของผู้โจมตี รายละเอียดเหล่านี้รวมถึงที่อยู่ IP ของอุปกรณ์ ชื่อโฮสต์ เวอร์ชัน macOS และการตั้งค่าภาษาแป้นพิมพ์ ข้อมูลนี้ช่วยให้ผู้โจมตีสามารถสร้างโปรไฟล์ของเครื่องที่ติดไวรัสก่อนที่จะดำเนินการต่อไป
หลังจากนั้น มัลแวร์จะดาวน์โหลดสคริปต์ที่ปลอมตัวเป็นหน้าต่างขอรหัสผ่าน macOS ที่ดูเหมือนของจริง หน้าต่างปลอมนี้จะปรากฏขึ้นเพื่อขอรหัสผ่านระบบของผู้ใช้ตามปกติ หากเหยื่อป้อนรหัสผ่าน ผู้โจมตีจะสามารถปลดล็อก macOS Keychain ซึ่งเก็บข้อมูลที่ละเอียดอ่อนมาก เช่น รหัสผ่านที่บันทึกไว้ ข้อมูลประจำตัว Wi-Fi และคีย์เข้ารหัสส่วนตัว
การรวบรวมข้อมูลอย่างครอบคลุมจากเบราว์เซอร์และกระเป๋าเงินดิจิทัล
เมื่อเข้าถึงระบบได้อย่างปลอดภัยแล้ว SHub จะเริ่มสแกนอุปกรณ์เพื่อค้นหาข้อมูลสำคัญที่จัดเก็บไว้ในเว็บเบราว์เซอร์และแอปพลิเคชันคริปโตเคอร์เรนซี มัลแวร์นี้มุ่งเป้าไปที่เบราว์เซอร์ที่ใช้ Chromium เป็นพื้นฐานหลากหลายรุ่น รวมถึง Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi และ Coccoc นอกจากนี้ยังมุ่งเป้าไปที่ Firefox ด้วย
จากเบราว์เซอร์เหล่านี้ มัลแวร์จะดึงข้อมูลประจำตัวที่จัดเก็บไว้ คุกกี้ ข้อมูลการกรอกอัตโนมัติ และข้อมูลโปรไฟล์อื่นๆ จากโปรไฟล์ผู้ใช้ทั้งหมด นอกจากนี้ มัลแวร์ยังตรวจสอบส่วนขยายเบราว์เซอร์ที่ติดตั้งไว้เพื่อค้นหาส่วนขยายกระเป๋าเงินดิจิทัลอีกด้วย
SHub สามารถขโมยข้อมูลจากกระเป๋าเงินดิจิทัลที่รู้จักกันดีมากกว่าหนึ่งร้อยกระเป๋า ตัวอย่างเช่น Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom และ Trust Wallet โดยการเข้าถึงส่วนขยายเหล่านี้ ผู้โจมตีสามารถรับโทเค็นการตรวจสอบสิทธิ์ ข้อมูลการเข้าถึงกระเป๋าเงิน และรายละเอียดที่สำคัญอื่นๆ ที่เชื่อมโยงกับบัญชีสกุลเงินดิจิทัลได้
กำหนดเป้าหมายแอปพลิเคชันคริปโตเคอร์เรนซีบนเดสก์ท็อป
นอกจากกระเป๋าเงินดิจิทัลบนเว็บเบราว์เซอร์แล้ว SHub ยังให้ความสำคัญอย่างมากกับแอปพลิเคชันกระเป๋าเงินดิจิทัลบนเดสก์ท็อปที่ติดตั้งในระบบ มัลแวร์นี้รวบรวมข้อมูลจากกระเป๋าเงินดิจิทัลจำนวนมาก รวมถึง Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite และ Wasabi
ข้อมูลสำคัญที่ถูกดึงออกมาจากแอปพลิเคชันเหล่านี้อาจรวมถึงข้อมูลประจำตัวกระเป๋าเงินดิจิทัล กุญแจส่วนตัว และข้อมูลการตรวจสอบสิทธิ์อื่นๆ ข้อมูลเหล่านี้อาจทำให้ผู้โจมตีสามารถควบคุมการถือครองสกุลเงินดิจิทัลได้โดยตรง
นอกเหนือจากซอฟต์แวร์กระเป๋าเงินดิจิทัลแล้ว SHub ยังเก็บรวบรวมข้อมูลสำคัญอื่นๆ จากสภาพแวดล้อม macOS อีกด้วย มันดึงข้อมูลจาก macOS Keychain, ข้อมูลบัญชี iCloud, คุกกี้และประวัติการท่องเว็บของ Safari, ฐานข้อมูล Apple Notes และไฟล์เซสชันของ Telegram นอกจากนี้ มัลแวร์ยังคัดลอกไฟล์ .zsh_history, .bash_history และ .gitconfig ไฟล์เหล่านี้มีค่าอย่างยิ่งเพราะอาจมีคีย์ API, โทเค็นการตรวจสอบสิทธิ์ หรือข้อมูลประจำตัวนักพัฒนาอื่นๆ ที่เก็บไว้ในประวัติคำสั่งหรือการตั้งค่าคอนฟิก
การจัดการกระเป๋าเงินเพื่อการขโมยข้อมูลอย่างต่อเนื่อง
SHub ไม่ได้แค่รวบรวมข้อมูลที่จัดเก็บไว้เท่านั้น แต่ยังสามารถแก้ไขแอปพลิเคชันกระเป๋าเงินดิจิทัลบางแอปพลิเคชัน เพื่อให้สามารถขโมยข้อมูลได้อย่างต่อเนื่อง แม้หลังจากที่ข้อมูลถูกเจาะระบบไปแล้วก็ตาม
หากมัลแวร์ตรวจพบกระเป๋าเงินดิจิทัล เช่น Atomic Wallet, Exodus, Ledger Live, Ledger Wallet หรือ Trezor Suite มันจะแทนที่ส่วนประกอบสำคัญของแอปพลิเคชันที่เรียกว่า 'app.asar' ด้วยเวอร์ชันที่เป็นอันตราย ไฟล์ที่ถูกแก้ไขนี้จะทำงานอย่างเงียบ ๆ ในพื้นหลัง ในขณะที่แอปพลิเคชันกระเป๋าเงินดิจิทัลยังคงทำงานได้ตามปกติจากมุมมองของผู้ใช้
ด้วยการดัดแปลงนี้ แอปพลิเคชันกระเป๋าเงินดิจิทัลที่ถูกบุกรุกยังคงส่งข้อมูลสำคัญไปยังผู้โจมตีต่อไป ข้อมูลที่ถูกขโมยอาจรวมถึงรหัสผ่านกระเป๋าเงิน วลีเริ่มต้น และวลีกู้คืน บางเวอร์ชันของมัลแวร์สามารถแสดงข้อความแจ้งเตือนการกู้คืนปลอมหรือข้อความแจ้งเตือนการอัปเดตความปลอดภัยปลอมเพื่อหลอกให้ผู้ใช้ป้อนวลีเริ่มต้นโดยตรง
ความสามารถในการคงอยู่และการควบคุมระยะไกล
เพื่อรักษาการเข้าถึงระบบที่ถูกบุกรุกในระยะยาว SHub จะติดตั้งกลไกแบ็กดอร์ที่ช่วยให้ผู้โจมตีสามารถสื่อสารกับอุปกรณ์ที่ติดไวรัสได้ มัลแวร์จะสร้างงานเบื้องหลังชื่อ 'com.google.keystone.agent.plist' ชื่อนี้ถูกเลือกมาโดยเจตนาให้คล้ายกับบริการอัปเดตที่ถูกต้องตามกฎหมายของ Google เพื่อลดโอกาสในการตรวจจับ
ทุกครั้งที่กระบวนการทำงานเบื้องหลังนี้ทำงาน มันจะเรียกใช้สคริปต์ที่ซ่อนอยู่ซึ่งส่งตัวระบุฮาร์ดแวร์เฉพาะของ Mac ไปยังเซิร์ฟเวอร์ระยะไกลและตรวจสอบคำสั่งจากผู้โจมตี ความสามารถนี้ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกลและเรียกใช้คำสั่งเพิ่มเติมได้ทุกเมื่อที่ต้องการ
เพื่อหลีกเลี่ยงการแจ้งเตือนเหยื่อระหว่างการติดตั้ง มัลแวร์จะแสดงข้อความแสดงข้อผิดพลาดที่หลอกลวง โดยระบุว่าแอปพลิเคชันไม่ได้รับการสนับสนุน ข้อความนี้ทำให้ผู้ใช้เข้าใจผิดว่ากระบวนการติดตั้งล้มเหลว แม้ว่ามัลแวร์จะถูกติดตั้งสำเร็จแล้วก็ตาม
การจัดจำหน่ายผ่านเทคนิค ClickFix
วิธีการแพร่กระจายหลักของ SHub อาศัยวิศวกรรมสังคมและเทคนิคที่เรียกว่า ClickFix ในแคมเปญนี้ ผู้โจมตีสร้างเว็บไซต์ปลอมที่เลียนแบบเว็บไซต์ซอฟต์แวร์ CleanMyMac ที่ถูกต้อง ผู้เข้าชมที่เชื่อว่ากำลังดาวน์โหลดแอปพลิเคชันของแท้จะพบกับคำแนะนำการติดตั้งที่ผิดปกติ
แทนที่จะได้รับไฟล์ติดตั้งตามปกติ ผู้ใช้จะได้รับคำแนะนำให้เปิดเทอร์มินัลของ macOS แล้ววางคำสั่งเพื่อดำเนินการติดตั้งให้เสร็จสมบูรณ์ เมื่อคำสั่งนี้ถูกเรียกใช้ มันจะดาวน์โหลดและเรียกใช้สคริปต์ที่ซ่อนอยู่ซึ่งจะติดตั้งมัลแวร์ SHub
โดยทั่วไปแล้วลำดับการโจมตีจะเกิดขึ้นในลักษณะดังต่อไปนี้:
- เหยื่อเข้าเยี่ยมชมเว็บไซต์ปลอมที่แอบอ้างเป็นหน้าดาวน์โหลด CleanMyMac
- เว็บไซต์แนะนำให้ผู้ใช้เปิดเทอร์มินัลและวางคำสั่งที่ให้ไว้เป็นส่วนหนึ่งของขั้นตอนการติดตั้ง
- การเรียกใช้คำสั่งนี้จะดาวน์โหลดและเรียกใช้สคริปต์ที่ซ่อนอยู่ซึ่งจะติดตั้ง SHub ลงในระบบ
เนื่องจากเหยื่อดำเนินการขั้นตอนเหล่านี้ด้วยตนเอง การโจมตีจึงสามารถหลีกเลี่ยงคำเตือนด้านความปลอดภัยแบบดั้งเดิมบางอย่างได้
ความเสี่ยงด้านความปลอดภัยและผลกระทบที่อาจเกิดขึ้น
SHub เป็นภัยคุกคามร้ายแรงต่อผู้ใช้ macOS เนื่องจากมีความสามารถในการรวบรวมข้อมูลอย่างกว้างขวางและคุณสมบัติการคงอยู่ระยะยาว เมื่อติดตั้งแล้ว มันสามารถเก็บเกี่ยวข้อมูลสำคัญได้อย่างเงียบๆ และทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ถูกบุกรุกจากระยะไกลได้อย่างต่อเนื่อง
ผู้ที่ตกเป็นเหยื่อของมัลแวร์นี้อาจเผชิญกับผลกระทบหลายประการ รวมถึง:
เนื่องจาก SHub สามารถรวบรวมข้อมูลได้ในปริมาณมหาศาล การป้องกันการติดไวรัสจึงมีความสำคัญอย่างยิ่ง ผู้ใช้ควรระมัดระวังเมื่อดาวน์โหลดซอฟต์แวร์ หลีกเลี่ยงการเรียกใช้คำสั่งจากแหล่งที่ไม่น่าเชื่อถือ และตรวจสอบให้แน่ใจว่าเว็บไซต์ที่เสนอการดาวน์โหลดนั้นถูกต้อง การตรวจพบและกำจัดมัลแวร์ตั้งแต่เนิ่นๆ เป็นสิ่งจำเป็นเพื่อป้องกันการรั่วไหลของข้อมูลเพิ่มเติม
