Magnanakaw ng SHub

Ang SHub ay isang sopistikadong malware na nagnanakaw ng impormasyon na sadyang idinisenyo upang ikompromiso ang mga sistema ng macOS. Ang pangunahing layunin nito ay kumuha ng sensitibong impormasyon mula sa mga browser, cryptocurrency wallet, at iba't ibang bahagi ng sistema. Ang banta ay partikular na mapanganib dahil pinagsasama nito ang pagnanakaw ng kredensyal, pag-target sa cryptocurrency, at mga mekanismo ng patuloy na pag-access sa loob ng iisang kampanya.

Karaniwang ipinamamahagi ang malware sa pamamagitan ng mga mapanlinlang na pamamaraan na nanlilinlang sa mga gumagamit na isagawa mismo ang mga malisyosong utos. Kapag aktibo na, tahimik na nangongolekta ang SHub ng mahahalagang datos at maaaring mapanatili ang pangmatagalang access sa nahawaang device. Dahil sa lawak ng impormasyong maaari nitong kolektahin, ang banta na ito ay nagdudulot ng malubhang panganib, kabilang ang mga pagkalugi sa pananalapi, pagnanakaw ng pagkakakilanlan, at pagkompromiso sa account. Mahalaga ang agarang pag-alis kung matuklasan ang SHub sa isang sistema.

Paunang Impeksyon at Pag-verify ng Sistema

Ang proseso ng impeksyon ay nagsisimula sa isang loader na isinasagawa sa Mac ng biktima. Bago i-deploy ang buong payload ng malware, ang loader na ito ay nagsasagawa ng ilang pagsusuri sa system. Isa sa mga pinakakapansin-pansing pagsusuri ay kinabibilangan ng pagsusuri sa system para sa pagkakaroon ng layout ng Russian keyboard. Kung matutukoy ang naturang keyboard, ititigil ng malware ang pagpapatupad nito at iuulat ang impormasyong ito pabalik sa mga umaatake.

Kung matagumpay ang yugto ng pag-verify, kinokolekta at ipinapadala ng loader ang mga pangunahing detalye ng system sa imprastraktura ng mga attacker. Kabilang sa mga detalyeng ito ang IP address, hostname, bersyon ng macOS, at mga setting ng wika ng keyboard ng device. Ang impormasyong ito ay tumutulong sa mga attacker na i-profile ang nahawaang makina bago magpatuloy sa mga karagdagang aksyon.

Pagkatapos, magda-download ang malware ng script na nagkukunwaring isang lehitimong prompt ng password ng macOS. Ang pekeng prompt na ito ay tila humihingi ng password ng system ng user sa isang regular na paraan. Kung ilalagay ng biktima ang password, magkakaroon ng kakayahang i-unlock ng mga attacker ang macOS Keychain, na nag-iimbak ng mga sensitibong impormasyon tulad ng mga naka-save na password, mga kredensyal sa Wi-Fi, at mga pribadong encryption key.

Malawakang Pangongolekta ng Datos mula sa mga Browser at Wallet

Kapag na-secure na ang access sa system, sisimulan ng SHub ang pag-scan sa device para sa mahahalagang data na nakaimbak sa mga web browser at cryptocurrency application. Tinatarget ng malware ang malawak na hanay ng mga Chromium-based browser, kabilang ang Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi, at Coccoc. Tinatarget din nito ang Firefox.

Mula sa mga browser na ito, kinukuha ng malware ang mga nakaimbak na kredensyal, cookies, impormasyon ng autofill, at iba pang data ng profile sa lahat ng profile ng user. Sinusuri rin ng malware ang mga naka-install na extension ng browser para maghanap ng mga extension ng cryptocurrency wallet.

Ang SHub ay may kakayahang magnakaw ng impormasyon mula sa mahigit isang daang kilalang cryptocurrency wallet. Kabilang sa mga halimbawa nito ang Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom, at Trust Wallet. Sa pamamagitan ng pag-access sa mga extension na ito, makakakuha ang mga attacker ng mga authentication token, data ng pag-access sa wallet, at iba pang sensitibong detalye na may kaugnayan sa mga cryptocurrency account.

Pag-target sa mga Aplikasyon ng Desktop Cryptocurrency

Bukod sa mga browser-based wallet, ang SHub ay nakatuon nang husto sa mga desktop cryptocurrency wallet application na naka-install sa system. Nangongolekta ang malware ng data mula sa maraming wallet, kabilang ang Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite, at Wasabi.

Ang sensitibong datos na nakuha mula sa mga aplikasyong ito ay maaaring kabilang ang mga kredensyal sa wallet, mga pribadong susi, at iba pang impormasyon sa pagpapatotoo. Ang datos na ito ay maaaring magbigay-daan sa mga umaatake na makakuha ng direktang kontrol sa mga hawak na cryptocurrency.

Bukod sa wallet software, kumukuha rin ang SHub ng iba pang uri ng sensitibong impormasyon mula sa macOS environment. Kinukuha nito ang data mula sa macOS Keychain, impormasyon ng iCloud account, Safari cookies at browsing history, mga database ng Apple Notes, at mga Telegram session file. Kinokopya rin ng malware ang mga file na .zsh_history, .bash_history, at .gitconfig. Ang mga file na ito ay partikular na mahalaga dahil maaaring naglalaman ang mga ito ng mga API key, authentication token, o iba pang mga kredensyal ng developer na nakaimbak sa mga command history o mga setting ng configuration.

Manipulasyon ng Wallet para sa Patuloy na Pagnanakaw ng Data

Hindi lang basta nangongolekta ng nakaimbak na impormasyon ang ginagawa ng SHub. Maaari rin nitong baguhin ang ilang aplikasyon ng cryptocurrency wallet upang mapanatili ang patuloy na pagnanakaw ng data kahit na matapos ang unang kompromiso.

Kung makakakita ang malware ng mga wallet tulad ng Atomic Wallet, Exodus, Ledger Live, Ledger Wallet, o Trezor Suite, papalitan nito ang isang mahalagang bahagi ng application na kilala bilang 'app.asar' ng isang malisyosong bersyon. Ang binagong file na ito ay tahimik na gumagana sa background habang pinapayagan ang application ng wallet na patuloy na gumana nang normal mula sa pananaw ng user.

Sa pamamagitan ng pagbabagong ito, ang mga nakompromisong wallet application ay patuloy na nagpapadala ng sensitibong impormasyon sa mga umaatake. Ang mga ninakaw na data ay maaaring kabilang ang mga password ng wallet, mga seed phrase, at mga recovery phrase. Ang ilang variant ng malware ay may kakayahang magpakita ng mga pekeng recovery prompt o mga mensahe ng security update upang linlangin ang mga user na direktang ilagay ang kanilang mga seed phrase.

Mga Kakayahan sa Pagtitiyaga at Remote Control

Para mapanatili ang pangmatagalang access sa nakompromisong sistema, nag-i-install ang SHub ng backdoor mechanism na nagbibigay-daan sa mga umaatake na makipag-ugnayan sa nahawaang device. Lumilikha ang malware ng background task na pinangalanang 'com.google.keystone.agent.plist.' Sinadyang pinili ang pangalang ito upang maging katulad ng lehitimong serbisyo ng pag-update ng Google, na binabawasan ang posibilidad ng pagtuklas.

Sa tuwing tatakbo ang gawaing ito sa background, naglulunsad ito ng isang nakatagong script na nagpapadala ng natatanging hardware identifier ng Mac sa isang remote server at sinusuri ang mga tagubilin mula sa mga umaatake. Ang kakayahang ito ay nagbibigay-daan sa mga threat actor na malayuang kontrolin ang device at magsagawa ng mga karagdagang command tuwing kinakailangan.

Para maiwasan ang pag-alerto sa biktima habang nag-i-install, ang malware ay nagpapakita ng mapanlinlang na mensahe ng error na nagsasaad na ang application ay hindi sinusuportahan. Ang mensaheng ito ay nagtutulak sa mga user na maniwala na nabigo ang proseso ng pag-install, kahit na matagumpay nang na-deploy ang malware.

Pamamahagi Gamit ang ClickFix Technique

Ang pangunahing paraan ng pamamahagi para sa SHub ay nakasalalay sa social engineering at isang pamamaraan na kilala bilang ClickFix. Sa kampanyang ito, ang mga umaatake ay lumilikha ng isang mapanlinlang na website na ginagaya ang lehitimong site ng software ng CleanMyMac. Ang mga bisitang naniniwalang dina-download nila ang tunay na application ay sa halip ay binibigyan ng mga hindi pangkaraniwang tagubilin sa pag-install.

Sa halip na makatanggap ng isang normal na installer file, ang mga user ay inaatasan na buksan ang macOS Terminal at i-paste ang isang command upang makumpleto ang proseso ng pag-install. Kapag naisagawa ang command na ito, nagda-download at nagpapatakbo ito ng isang nakatagong script na nag-i-install ng SHub malware.

Ang pagkakasunod-sunod ng pag-atake ay karaniwang nangyayari sa mga sumusunod na paraan:

• Bumisita ang biktima sa isang pekeng website na nagpapanggap na siyang pahina ng pag-download ng CleanMyMac.
• Inuutusan ng site ang user na buksan ang Terminal at i-paste ang ibinigay na command bilang bahagi ng instalasyon.
• Ang pagpapatupad ng utos ay magda-download at magpapatakbo ng isang nakatagong script na mag-i-install ng SHub sa system.

Dahil manu-manong ginagawa ng biktima ang mga hakbang na ito, maaaring malampasan ng pag-atake ang ilang tradisyonal na babala sa seguridad.

Mga Panganib sa Seguridad at mga Potensyal na Bunga

Ang SHub ay kumakatawan sa isang seryosong banta sa mga gumagamit ng macOS dahil sa malawak nitong kakayahan sa pagkolekta ng data at mga pangmatagalang katangian ng persistence. Kapag na-install na, maaari nitong tahimik na mangolekta ng sensitibong impormasyon at magbigay sa mga umaatake ng patuloy na malayuang access sa nakompromisong device.

Ang mga biktima ng malware na ito ay maaaring maharap sa iba't ibang mga kahihinatnan, kabilang ang:

• Pagnanakaw ng cryptocurrency mula sa mga nakompromisong aplikasyon ng wallet

• Pagnanakaw ng pagkakakilanlan na nagreresulta mula sa ninakaw na personal na data at mga kredensyal

• Hindi awtorisadong pag-access sa mga online account at serbisyo

• Pagbubunyag ng mga sikreto ng developer tulad ng mga API key o mga authentication token

Dahil sa laki ng impormasyong maaaring kolektahin ng SHub, napakahalagang maiwasan ang impeksyon. Dapat manatiling maingat ang mga gumagamit kapag nagda-download ng software, iwasan ang pagsasagawa ng mga utos mula sa mga hindi mapagkakatiwalaang mapagkukunan, at tiyakin na lehitimo ang mga website na nag-aalok ng mga pag-download. Mahalaga ang maagang pagtuklas at agarang pag-alis ng malware upang maiwasan ang karagdagang pagkalat ng data.