SHub Stealer
SHub 是一款精心设计的恶意软件,专门针对 macOS 系统,旨在窃取敏感信息。其主要目标是从浏览器、加密货币钱包和各种系统组件中窃取敏感信息。该威胁尤其危险,因为它将凭证窃取、加密货币攻击和持久访问机制整合于单一攻击活动中。
该恶意软件通常通过欺骗手段传播,诱骗用户自行执行恶意命令。一旦激活,SHub 便会在用户不知情的情况下收集重要数据,并能长期访问受感染的设备。由于其能够收集的信息范围广泛,因此该威胁会带来严重风险,包括经济损失、身份盗窃和账户泄露。一旦在系统中发现 SHub,必须立即将其清除。
目录
初始感染和系统验证
感染过程始于一个在受害者Mac电脑上运行的加载程序。在部署完整的恶意软件有效载荷之前,该加载程序会对系统进行多项检查。其中一项最值得注意的是,它会检查系统是否存在俄语键盘布局。如果检测到此类键盘布局,恶意软件将终止执行并将此信息报告给攻击者。
如果验证阶段成功,加载程序会收集基本系统信息并将其传输到攻击者的基础架构。这些信息包括设备的 IP 地址、主机名、macOS 版本和键盘语言设置。这些信息有助于攻击者在采取进一步行动之前对受感染的计算机进行分析。
之后,恶意软件会下载一个伪装成合法 macOS 密码提示的脚本。这个虚假提示看似例行公事地请求用户输入系统密码。如果受害者输入密码,攻击者就能解锁 macOS 钥匙串,其中存储着高度敏感的信息,例如已保存的密码、Wi-Fi 凭据和私钥。
从浏览器和钱包中收集大量数据
一旦系统访问权限被获取,SHub 便会开始扫描设备,寻找存储在网页浏览器和加密货币应用程序中的有价值的数据。该恶意软件针对多种基于 Chromium 内核的浏览器,包括 Arc、Brave、Chrome、Chrome Beta、Chrome Canary、Chrome DevTools、Chromium、Edge、Opera、Opera GX、Orion、Sidekick、Vivaldi 和 Coccoc,以及 Firefox 浏览器。
该恶意软件会从这些浏览器中窃取所有用户配置文件中存储的凭据、Cookie、自动填充信息和其他个人资料数据。此外,该恶意软件还会检查已安装的浏览器扩展程序,以查找加密货币钱包扩展程序。
SHub能够从一百多个已知的加密货币钱包中窃取信息,例如Coinbase Wallet、Exodus Web3、Keplr、MetaMask、Phantom和Trust Wallet。通过访问这些扩展程序,攻击者可以获取身份验证令牌、钱包访问数据以及与加密货币账户关联的其他敏感信息。
面向桌面加密货币应用程序
除了基于浏览器的钱包外,SHub 还重点攻击安装在系统上的桌面加密货币钱包应用程序。该恶意软件会从大量钱包中收集数据,包括 Atomic Wallet、Binance、Bitcoin Core、BlueWallet、Coinomi、Dogecoin Core、Electrum、Exodus、Guarda、Ledger Live、Ledger Wallet、Litecoin Core、Monero、Sparrow、TON Keeper、Trezor Suite 和 Wasabi。
从这些应用程序中提取的敏感数据可能包括钱包凭证、私钥和其他身份验证信息。这些数据可能使攻击者能够直接控制加密货币资产。
除了钱包软件之外,SHub 还会从 macOS 环境中窃取其他形式的敏感信息。它会从 macOS 钥匙串、iCloud 帐户信息、Safari Cookie 和浏览历史记录、Apple Notes 数据库以及 Telegram 会话文件中获取数据。此外,该恶意软件还会复制 .zsh_history、.bash_history 和 .gitconfig 文件。这些文件尤其重要,因为它们可能包含存储在命令历史记录或配置设置中的 API 密钥、身份验证令牌或其他开发者凭据。
利用钱包操控进行持续数据盗窃
SHub的功能不仅限于收集存储的信息。它还可以修改某些加密货币钱包应用程序,以便在初始入侵之后继续窃取数据。
如果恶意软件检测到诸如 Atomic Wallet、Exodus、Ledger Live、Ledger Wallet 或 Trezor Suite 之类的钱包,它会将名为“app.asar”的关键应用程序组件替换为恶意版本。这个被修改的文件会在后台静默运行,同时允许钱包应用程序从用户角度来看继续正常运行。
通过这种修改,被入侵的钱包应用程序会继续向攻击者传输敏感信息。被盗数据可能包括钱包密码、助记词和恢复短语。某些恶意软件变种能够显示虚假的恢复提示或安全更新消息,诱骗用户直接输入助记词。
持久性和远程控制功能
为了长期访问受感染的系统,SHub 会安装一个后门机制,使攻击者能够与受感染的设备通信。该恶意软件会创建一个名为“com.google.keystone.agent.plist”的后台任务。这个名称是故意选择的,旨在模仿谷歌的合法更新服务,从而降低被检测到的可能性。
每当此后台任务运行时,它都会启动一个隐藏脚本,将 Mac 的唯一硬件标识符发送到远程服务器,并检查是否收到攻击者的指令。此功能使攻击者能够远程控制设备,并在需要时执行其他命令。
为了避免在安装过程中惊动受害者,该恶意软件会显示一条欺骗性的错误信息,声称该应用程序不受支持。这条信息会让用户误以为安装过程失败,即使恶意软件实际上已经成功部署。
通过 ClickFix 技术进行分发
SHub 的主要传播方式依赖于社会工程学和一种名为 ClickFix 的技术。在这种攻击活动中,攻击者会创建一个模仿 CleanMyMac 官方软件网站的欺诈网站。访问者以为自己正在下载正版应用程序,但实际上却会看到异常的安装说明。
用户不会收到正常的安装程序文件,而是被指示打开 macOS 终端并粘贴一条命令来完成安装过程。执行此命令后,它会下载并运行一个隐藏脚本,该脚本会安装 SHub 恶意软件。
攻击过程通常按以下方式展开:
- 受害者访问了一个冒充 CleanMyMac 下载页面的虚假网站。
- 该网站指示用户打开终端并粘贴提供的命令以完成安装。
- 执行该命令会下载并运行一个隐藏脚本,该脚本会将 SHub 安装到系统上。
由于受害者是手动执行这些步骤的,因此该攻击可以绕过一些传统的安全警告。
安全风险及潜在后果
SHub 因其强大的数据收集能力和长期持久化特性,对 macOS 用户构成严重威胁。一旦安装,它就能悄无声息地窃取敏感信息,并使攻击者能够持续远程访问受感染的设备。
这种恶意软件的受害者可能会面临多种后果,包括:
鉴于SHub能够收集的信息量巨大,预防感染至关重要。用户在下载软件时应保持谨慎,避免执行来自不可信来源的命令,并核实提供下载的网站是否合法。及早发现并立即清除恶意软件对于防止数据进一步泄露至关重要。
