Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Mac Kẻ trộm SHub

Kẻ trộm SHub

Đến năm Mezo năm Phần mềm độc hại Mac, Kẻ trộm
Dịch sang:

SHub là một phần mềm độc hại tinh vi chuyên đánh cắp thông tin, được thiết kế đặc biệt để xâm nhập các hệ thống macOS. Mục tiêu chính của nó là trích xuất thông tin nhạy cảm từ trình duyệt, ví tiền điện tử và nhiều thành phần hệ thống khác nhau. Mối đe dọa này đặc biệt nguy hiểm vì nó kết hợp việc đánh cắp thông tin đăng nhập, nhắm mục tiêu vào tiền điện tử và các cơ chế truy cập liên tục trong cùng một chiến dịch.

Phần mềm độc hại này thường được phát tán thông qua các phương pháp lừa đảo, đánh lừa người dùng tự thực thi các lệnh độc hại. Sau khi được kích hoạt, SHub âm thầm thu thập dữ liệu quan trọng và có thể duy trì quyền truy cập lâu dài vào thiết bị bị nhiễm. Do phạm vi thông tin mà nó có thể thu thập, mối đe dọa này gây ra những rủi ro nghiêm trọng, bao gồm thiệt hại tài chính, đánh cắp danh tính và xâm phạm tài khoản. Việc loại bỏ ngay lập tức là điều cần thiết nếu phát hiện SHub trên hệ thống.

Nhiễm trùng ban đầu và xác minh hệ thống

Quá trình lây nhiễm bắt đầu bằng một chương trình tải (loader) chạy trên máy Mac của nạn nhân. Trước khi triển khai toàn bộ phần mềm độc hại, chương trình tải này thực hiện một số kiểm tra trên hệ thống. Một trong những kiểm tra đáng chú ý nhất là việc kiểm tra hệ thống xem có bố cục bàn phím tiếng Nga hay không. Nếu phát hiện bàn phím như vậy, phần mềm độc hại sẽ chấm dứt quá trình thực thi và báo cáo thông tin này cho kẻ tấn công.

Nếu giai đoạn xác minh thành công, trình tải sẽ thu thập và truyền các thông tin cơ bản về hệ thống đến cơ sở hạ tầng của kẻ tấn công. Các thông tin này bao gồm địa chỉ IP của thiết bị, tên máy chủ, phiên bản macOS và cài đặt ngôn ngữ bàn phím. Thông tin này giúp kẻ tấn công lập hồ sơ về máy tính bị nhiễm trước khi tiến hành các hành động tiếp theo.

Sau đó, phần mềm độc hại tải xuống một tập lệnh được ngụy trang thành một cửa sổ nhập mật khẩu macOS hợp lệ. Cửa sổ giả mạo này dường như yêu cầu người dùng nhập mật khẩu hệ thống một cách thông thường. Nếu nạn nhân nhập mật khẩu, kẻ tấn công sẽ có được khả năng mở khóa macOS Keychain, nơi lưu trữ các thông tin nhạy cảm như mật khẩu đã lưu, thông tin đăng nhập Wi-Fi và khóa mã hóa riêng tư.

Thu thập dữ liệu quy mô lớn từ trình duyệt và ví điện tử

Sau khi giành được quyền truy cập vào hệ thống, SHub bắt đầu quét thiết bị để tìm kiếm dữ liệu quan trọng được lưu trữ trong trình duyệt web và các ứng dụng tiền điện tử. Phần mềm độc hại này nhắm mục tiêu vào nhiều trình duyệt dựa trên Chromium, bao gồm Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi và Coccoc. Nó cũng nhắm mục tiêu vào Firefox.

Từ các trình duyệt này, phần mềm độc hại trích xuất thông tin đăng nhập, cookie, thông tin tự động điền và dữ liệu hồ sơ khác được lưu trữ trên tất cả các hồ sơ người dùng. Phần mềm độc hại cũng kiểm tra các tiện ích mở rộng trình duyệt đã cài đặt để tìm kiếm các tiện ích mở rộng ví tiền điện tử.

SHub có khả năng đánh cắp thông tin từ hơn một trăm ví tiền điện tử đã biết. Ví dụ bao gồm Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom và Trust Wallet. Bằng cách truy cập vào các tiện ích mở rộng này, kẻ tấn công có thể lấy được mã xác thực, dữ liệu truy cập ví và các chi tiết nhạy cảm khác liên quan đến tài khoản tiền điện tử.

Nhắm mục tiêu vào các ứng dụng tiền điện tử trên máy tính để bàn

Ngoài các ví điện tử trên trình duyệt, SHub tập trung mạnh vào các ứng dụng ví tiền điện tử trên máy tính để bàn được cài đặt trên hệ thống. Phần mềm độc hại này thu thập dữ liệu từ một số lượng lớn ví, bao gồm Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite và Wasabi.

Dữ liệu nhạy cảm được trích xuất từ các ứng dụng này có thể bao gồm thông tin đăng nhập ví, khóa riêng tư và các thông tin xác thực khác. Dữ liệu này có thể cho phép kẻ tấn công giành quyền kiểm soát trực tiếp đối với số tiền điện tử đang nắm giữ.

Ngoài phần mềm ví điện tử, SHub còn thu thập các dạng thông tin nhạy cảm khác từ môi trường macOS. Nó lấy dữ liệu từ macOS Keychain, thông tin tài khoản iCloud, cookie Safari và lịch sử duyệt web, cơ sở dữ liệu Apple Notes và các tệp phiên Telegram. Phần mềm độc hại này cũng sao chép các tệp .zsh_history, .bash_history và .gitconfig. Những tệp này đặc biệt có giá trị vì chúng có thể chứa khóa API, mã thông báo xác thực hoặc thông tin đăng nhập của nhà phát triển được lưu trữ trong lịch sử lệnh hoặc cài đặt cấu hình.

Thao túng ví điện tử để đánh cắp dữ liệu liên tục

SHub không chỉ đơn thuần thu thập thông tin đã lưu trữ. Nó còn có thể sửa đổi một số ứng dụng ví tiền điện tử để duy trì việc đánh cắp dữ liệu liên tục ngay cả sau khi xâm nhập ban đầu.

Nếu phần mềm độc hại phát hiện các ví điện tử như Atomic Wallet, Exodus, Ledger Live, Ledger Wallet hoặc Trezor Suite, nó sẽ thay thế một thành phần ứng dụng quan trọng có tên là 'app.asar' bằng một phiên bản độc hại. Tệp tin đã được sửa đổi này hoạt động âm thầm trong nền trong khi vẫn cho phép ứng dụng ví hoạt động bình thường từ góc nhìn của người dùng.

Thông qua việc sửa đổi này, các ứng dụng ví bị xâm nhập tiếp tục truyền tải thông tin nhạy cảm cho kẻ tấn công. Dữ liệu bị đánh cắp có thể bao gồm mật khẩu ví, cụm từ hạt giống và cụm từ khôi phục. Một số biến thể của phần mềm độc hại có khả năng hiển thị các lời nhắc khôi phục giả mạo hoặc thông báo cập nhật bảo mật để lừa người dùng nhập trực tiếp cụm từ hạt giống của họ.

Khả năng duy trì kết nối và điều khiển từ xa

Để duy trì quyền truy cập lâu dài vào hệ thống bị xâm nhập, SHub cài đặt một cơ chế cửa hậu cho phép kẻ tấn công liên lạc với thiết bị bị nhiễm. Phần mềm độc hại tạo ra một tác vụ nền có tên 'com.google.keystone.agent.plist'. Tên này được chọn một cách có chủ ý để giống với dịch vụ cập nhật hợp pháp của Google, làm giảm khả năng bị phát hiện.

Mỗi khi tác vụ nền này chạy, nó sẽ khởi chạy một tập lệnh ẩn gửi mã định danh phần cứng duy nhất của máy Mac đến một máy chủ từ xa và kiểm tra các chỉ thị từ kẻ tấn công. Khả năng này cho phép các tác nhân đe dọa điều khiển thiết bị từ xa và thực hiện các lệnh bổ sung bất cứ khi nào cần thiết.

Để tránh gây chú ý cho nạn nhân trong quá trình cài đặt, phần mềm độc hại hiển thị một thông báo lỗi giả mạo cho biết ứng dụng không được hỗ trợ. Thông báo này khiến người dùng tin rằng quá trình cài đặt đã thất bại, mặc dù phần mềm độc hại đã được triển khai thành công.

Phân phối thông qua kỹ thuật ClickFix

Phương thức phát tán chính của SHub dựa vào kỹ thuật tấn công phi kỹ thuật (social engineering) và một kỹ thuật gọi là ClickFix. Trong chiến dịch này, kẻ tấn công tạo ra một trang web giả mạo bắt chước trang web phần mềm CleanMyMac chính thống. Khách truy cập tin rằng họ đang tải xuống ứng dụng chính hãng nhưng thay vào đó lại nhận được hướng dẫn cài đặt bất thường.

Thay vì nhận được một tập tin cài đặt thông thường, người dùng được hướng dẫn mở Terminal của macOS và dán một lệnh để hoàn tất quá trình cài đặt. Khi lệnh này được thực thi, nó sẽ tải xuống và chạy một tập lệnh ẩn để cài đặt phần mềm độc hại SHub.

Trình tự tấn công thường diễn ra theo cách sau:

  • Nạn nhân truy cập vào một trang web giả mạo, mạo danh trang tải xuống CleanMyMac.
  • Trang web hướng dẫn người dùng mở Terminal và dán lệnh được cung cấp như một phần của quá trình cài đặt.
  • Việc thực thi lệnh này sẽ tải xuống và chạy một tập lệnh ẩn để cài đặt SHub trên hệ thống.

Vì nạn nhân thực hiện các bước này một cách thủ công, cuộc tấn công có thể vượt qua một số cảnh báo bảo mật truyền thống.

Rủi ro an ninh và hậu quả tiềm tàng

SHub представляет mối đe dọa nghiêm trọng đối với người dùng macOS vì khả năng thu thập dữ liệu quy mô lớn và tính năng duy trì hoạt động lâu dài. Sau khi được cài đặt, nó có thể âm thầm thu thập thông tin nhạy cảm và cung cấp cho kẻ tấn công quyền truy cập từ xa liên tục vào thiết bị bị xâm nhập.

Nạn nhân của phần mềm độc hại này có thể phải đối mặt với nhiều hậu quả khác nhau, bao gồm:

  • Trộm cắp tiền điện tử từ các ứng dụng ví bị xâm nhập
  • Đánh cắp danh tính do dữ liệu cá nhân và thông tin đăng nhập bị đánh cắp.
  • Truy cập trái phép vào tài khoản và dịch vụ trực tuyến
  • Việc lộ thông tin bí mật của nhà phát triển, chẳng hạn như khóa API hoặc mã xác thực.

Với lượng thông tin mà SHub có thể thu thập, việc ngăn chặn lây nhiễm là vô cùng quan trọng. Người dùng nên thận trọng khi tải xuống phần mềm, tránh thực thi các lệnh từ các nguồn không đáng tin cậy và xác minh rằng các trang web cung cấp phần mềm tải xuống là hợp pháp. Phát hiện sớm và loại bỏ phần mềm độc hại ngay lập tức là điều cần thiết để ngăn chặn việc dữ liệu bị xâm phạm thêm.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
22,143
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...