Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Mac Викрадач SHub

Викрадач SHub

До Mezo року в Шкідливе програмне забезпечення Mac, Викрадачі році
Перекласти на:

SHub — це складне шкідливе програмне забезпечення для крадіжки інформації, спеціально розроблене для компрометації систем macOS. Його основна мета — вилучення конфіденційної інформації з браузерів, криптовалютних гаманців та різних системних компонентів. Ця загроза особливо небезпечна, оскільки поєднує крадіжку облікових даних, атаки на криптовалюту та механізми постійного доступу в рамках однієї кампанії.

Шкідливе програмне забезпечення зазвичай поширюється обманливими методами, які обманом змушують користувачів виконувати шкідливі команди. Після активації SHub непомітно збирає цінні дані та може підтримувати довгостроковий доступ до зараженого пристрою. Через обсяг інформації, яку він може зібрати, ця загроза становить серйозні ризики, включаючи фінансові втрати, крадіжку особистих даних та компрометацію облікового запису. Негайне видалення є важливим, якщо SHub виявлено в системі.

Початкове зараження та перевірка системи

Процес зараження починається із завантажувача, який виконується на Mac жертви. Перед розгортанням повного корисного навантаження шкідливого програмного забезпечення цей завантажувач виконує кілька перевірок системи. Одна з найважливіших перевірок включає перевірку системи на наявність російської розкладки клавіатури. Якщо така клавіатура виявляється, шкідливе програмне забезпечення припиняє своє виконання та повідомляє цю інформацію зловмисникам.

Якщо етап перевірки пройшов успішно, завантажувач збирає та передає основні системні дані до інфраструктури зловмисників. Ці дані включають IP-адресу пристрою, ім'я хоста, версію macOS та налаштування мови клавіатури. Ця інформація допомагає зловмисникам скласти профіль зараженої машини, перш ніж продовжити подальші дії.

Після цього шкідливе програмне забезпечення завантажує скрипт, замаскований під справжній запит на пароль macOS. Цей підроблений запит, здається, запитує системний пароль користувача у звичайний спосіб. Якщо жертва вводить пароль, зловмисники отримують можливість розблокувати зв'язку ключів macOS, яка зберігає конфіденційну інформацію, таку як збережені паролі, облікові дані Wi-Fi та приватні ключі шифрування.

Розширений збір даних з браузерів та гаманців

Щойно доступ до системи захищено, SHub починає сканувати пристрій на наявність цінних даних, що зберігаються у веббраузерах та криптовалютних додатках. Шкідливе програмне забезпечення націлене на широкий спектр браузерів на базі Chromium, включаючи Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi та Coccoc. Воно також націлене на Firefox.

З цих браузерів шкідливе програмне забезпечення витягує збережені облікові дані, файли cookie, інформацію автозаповнення та інші дані профілів усіх користувачів. Шкідливе програмне забезпечення також перевіряє встановлені розширення браузера в пошуках розширень для криптовалютних гаманців.

SHub здатний красти інформацію з більш ніж ста відомих криптовалютних гаманців. Прикладами є Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom та Trust Wallet. Отримуючи доступ до цих розширень, зловмисники можуть отримати токени автентифікації, дані доступу до гаманців та інші конфіденційні дані, пов'язані з криптовалютними обліковими записами.

Орієнтація на настільні криптовалютні програми

Окрім браузерних гаманців, SHub значною мірою зосереджується на настільних криптовалютних додатках, встановлених у системі. Шкідливе програмне забезпечення збирає дані з великої кількості гаманців, включаючи Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite та Wasabi.

Конфіденційні дані, отримані з цих програм, можуть включати облікові дані гаманців, закриті ключі та іншу інформацію для автентифікації. Ці дані можуть дозволити зловмисникам отримати прямий контроль над криптовалютними активами.

Окрім програмного забезпечення для гаманців, SHub також збирає інші форми конфіденційної інформації з середовища macOS. Він отримує дані з брелока macOS, інформацію про обліковий запис iCloud, файли cookie Safari та історію переглядів, бази даних Apple Notes та файли сеансів Telegram. Шкідливе програмне забезпечення також копіює файли .zsh_history, .bash_history та .gitconfig. Ці файли особливо цінні, оскільки вони можуть містити ключі API, токени автентифікації або інші облікові дані розробника, що зберігаються в історії команд або налаштуваннях конфігурації.

Маніпуляції з гаманцями для постійної крадіжки даних

SHub не просто збирає збережену інформацію. Він також може змінювати певні програми криптовалютних гаманців, щоб забезпечити безперервне викрадання даних навіть після початкової компрометації.

Якщо шкідливе програмне забезпечення виявляє такі гаманці, як Atomic Wallet, Exodus, Ledger Live, Ledger Wallet або Trezor Suite, воно замінює ключовий компонент програми, відомий як «app.asar», шкідливою версією. Цей змінений файл тихо працює у фоновому режимі, дозволяючи програмі-гаманцю продовжувати нормально функціонувати з точки зору користувача.

Завдяки цій модифікації скомпрометовані програми-гаманці продовжують передавати конфіденційну інформацію зловмисникам. Викрадені дані можуть включати паролі гаманців, основні фрази та фрази відновлення. Деякі варіанти шкідливого програмного забезпечення здатні відображати фальшиві запити на відновлення або повідомлення про оновлення безпеки, щоб обманом змусити користувачів ввести свої основні фрази безпосередньо.

Можливості збереження та дистанційного керування

Щоб підтримувати довгостроковий доступ до скомпрометованої системи, SHub встановлює механізм бекдору, який дозволяє зловмисникам взаємодіяти із зараженим пристроєм. Шкідливе програмне забезпечення створює фонове завдання під назвою «com.google.keystone.agent.plist». Ця назва навмисно обрана, щоб нагадувати легітимну службу оновлень Google, що зменшує ймовірність виявлення.

Щоразу, коли це фонове завдання виконується, воно запускає прихований скрипт, який надсилає унікальний ідентифікатор обладнання Mac на віддалений сервер і перевіряє наявність інструкцій від зловмисників. Ця можливість дозволяє зловмисникам дистанційно керувати пристроєм і виконувати додаткові команди за потреби.

Щоб уникнути сповіщення жертви під час встановлення, шкідливе програмне забезпечення відображає оманливе повідомлення про помилку, в якому зазначено, що програма не підтримується. Це повідомлення змушує користувачів вважати, що процес встановлення не вдався, навіть якщо шкідливе програмне забезпечення вже успішно розгорнуто.

Розповсюдження за допомогою техніки ClickFix

Основний метод розповсюдження SHub спирається на соціальну інженерію та техніку, відому як ClickFix. У цій кампанії зловмисники створюють шахрайський веб-сайт, який імітує легітимний сайт програмного забезпечення CleanMyMac. Відвідувачам, які вважають, що завантажують справжню програму, замість цього пропонуються незвичайні інструкції з встановлення.

Замість отримання звичайного файлу інсталяції, користувачам пропонується відкрити термінал macOS та вставити команду для завершення процесу інсталяції. Після виконання цієї команди завантажується та запускається прихований скрипт, який встановлює шкідливе програмне забезпечення SHub.

Послідовність атак зазвичай розгортається наступним чином:

  • Жертва відвідує підроблений веб-сайт, який видає себе за сторінку завантаження CleanMyMac.
  • Сайт пропонує користувачеві відкрити Термінал і вставити надану команду як частину інсталяції.
  • Виконання команди завантажує та запускає прихований скрипт, який встановлює SHub у систему.

Оскільки жертва виконує ці кроки вручну, атака може обійти деякі традиційні попередження безпеки.

Ризики безпеки та потенційні наслідки

SHub становить серйозну загрозу для користувачів macOS через свої широкі можливості збору даних та функції довгострокового зберігання. Після встановлення він може непомітно збирати конфіденційну інформацію та надавати зловмисникам безперервний віддалений доступ до скомпрометованого пристрою.

Жертви цього шкідливого програмного забезпечення можуть зіткнутися з різними наслідками, зокрема:

  • Крадіжка криптовалюти зі зламаних програм-гаманців
  • Крадіжка особистих даних внаслідок викрадених персональних даних та облікових даних
  • Несанкціонований доступ до онлайн-акаунтів та сервісів
  • Розкриття секретів розробника, таких як ключі API або токени автентифікації

З огляду на масштаб інформації, яку може зібрати SHub, запобігання зараженню є критично важливим. Користувачам слід бути обережними під час завантаження програмного забезпечення, уникати виконання команд з ненадійних джерел та перевіряти легітимність веб-сайтів, що пропонують завантаження. Раннє виявлення та негайне видалення шкідливого програмного забезпечення є важливими для запобігання подальшому викриттю даних.

В тренді

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
22,143
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...