SHub Stealer
SHub 是一款精心設計的惡意軟體,專門針對 macOS 系統,旨在竊取敏感資訊。其主要目標是從瀏覽器、加密貨幣錢包和各種系統元件中竊取敏感資訊。該威脅尤其危險,因為它將憑證竊取、加密貨幣攻擊和持久存取機制整合於單一攻擊活動中。
該惡意軟體通常透過欺騙手段傳播,誘騙用戶自行執行惡意命令。一旦被激活,SHub 便會在用戶不知情的情況下收集重要數據,並能長期存取受感染的裝置。由於其能夠收集的資訊範圍廣泛,因此該威脅會帶來嚴重風險,包括經濟損失、身分盜竊和帳戶洩露。一旦在系統中發現 SHub,必須立即將其清除。
目錄
初始感染和系統驗證
感染過程始於一個在受害者Mac電腦上執行的載入程式。在部署完整的惡意軟體有效載荷之前,該載入程式會對系統進行多項檢查。其中一項最值得注意的是,它會檢查系統是否有俄語鍵盤佈局。如果偵測到此類鍵盤佈局,惡意軟體將終止執行並將此資訊報告給攻擊者。
如果驗證階段成功,載入程式會收集基本系統資訊並將其傳輸到攻擊者的基礎架構。這些資訊包括裝置的 IP 位址、主機名稱、macOS 版本和鍵盤語言設定。這些資訊有助於攻擊者在採取進一步行動之前對受感染的電腦進行分析。
之後,惡意軟體會下載一個偽裝成合法 macOS 密碼提示的腳本。這個虛假提示看似例行公事地請求使用者輸入系統密碼。如果受害者輸入密碼,攻擊者就能解鎖 macOS 鑰匙串,其中儲存著高度敏感的訊息,例如已保存的密碼、Wi-Fi 憑證和私鑰。
從瀏覽器和錢包收集大量數據
一旦系統存取權限被獲取,SHub 就會開始掃描設備,尋找儲存在網頁瀏覽器和加密貨幣應用程式中的有價值的資料。該惡意軟體針對多種基於 Chromium 核心的瀏覽器,包括 Arc、Brave、Chrome、Chrome Beta、Chrome Canary、Chrome DevTools、Chromium、Edge、Opera、Opera GX、Orion、Sidekick、Vivaldi 和 Coccoc,以及 Firefox 瀏覽器。
該惡意軟體會從這些瀏覽器中竊取所有使用者設定檔中儲存的憑證、Cookie、自動填入資訊和其他個人資料資料。此外,該惡意軟體還會檢查已安裝的瀏覽器擴充程序,以查找加密貨幣錢包擴充功能。
SHub能夠從一百多個已知的加密貨幣錢包中竊取訊息,例如Coinbase Wallet、Exodus Web3、Keplr、MetaMask、Phantom和Trust Wallet。透過存取這些擴充程序,攻擊者可以獲得身份驗證令牌、錢包存取資料以及與加密貨幣帳戶關聯的其他敏感資訊。
面向桌面加密貨幣應用程式
除了基於瀏覽器的錢包外,SHub 還重點攻擊安裝在系統上的桌面加密貨幣錢包應用程式。該惡意軟體會從大量錢包中收集數據,包括 Atomic Wallet、Binance、Bitcoin Core、BlueWallet、Coinomi、Dogecoin Core、Electrum、Exodus、Guarda、Ledger Live、Ledger Wallet、Litecoin Core、Monero、Sparrow、TON Keeper、Trezor Suite 和 Wasabi。
從這些應用程式中提取的敏感資料可能包括錢包憑證、私鑰和其他身份驗證資訊。這些數據可能使攻擊者能夠直接控制加密貨幣資產。
除了錢包軟體之外,SHub 還會從 macOS 環境中竊取其他形式的敏感資訊。它會從 macOS 鑰匙圈、iCloud 帳戶資訊、Safari Cookie 和瀏覽歷史記錄、Apple Notes 資料庫以及 Telegram 會話檔案中取得資料。此外,該惡意軟體還會複製 .zsh_history、.bash_history 和 .gitconfig 檔案。這些檔案尤其重要,因為它們可能包含儲存在命令歷史記錄或設定中的 API 金鑰、身份驗證令牌或其他開發者憑證。
利用錢包操控進行持續資料竊取
SHub的功能不僅限於收集儲存的資訊。它還可以修改某些加密貨幣錢包應用程序,以便在初始入侵之後繼續竊取資料。
如果惡意軟體偵測到諸如 Atomic Wallet、Exodus、Ledger Live、Ledger Wallet 或 Trezor Suite 之類的錢包,它會將名為「app.asar」的關鍵應用程式元件替換為惡意版本。這個被修改的檔案會在後台靜默運行,同時允許錢包應用程式從使用者角度來看繼續正常運作。
透過這種修改,被入侵的錢包應用程式會繼續向攻擊者傳輸敏感資訊。被盜資料可能包括錢包密碼、助記詞和恢復短語。某些惡意軟體變種能夠顯示虛假的復原提示或安全性更新訊息,誘騙使用者直接輸入助記詞。
持久性和遠端控制功能
為了長期存取受感染的系統,SHub 會安裝一個後門機制,使攻擊者能夠與受感染的裝置通訊。該惡意軟體會建立一個名為「com.google.keystone.agent.plist」的後台任務。這個名稱是故意選擇的,旨在模仿Google的合法更新服務,從而降低被檢測到的可能性。
每當此後台任務執行時,它都會啟動一個隱藏腳本,將 Mac 的唯一硬體識別碼傳送到遠端伺服器,並檢查是否收到攻擊者的指令。此功能使攻擊者能夠遠端控制設備,並在需要時執行其他命令。
為了避免在安裝過程中驚動受害者,該惡意軟體會顯示一條欺騙性的錯誤訊息,聲稱該應用程式不受支援。這則訊息會讓用戶誤以為安裝過程失敗,即使惡意軟體實際上已經成功部署。
透過 ClickFix 技術進行分發
SHub 的主要傳播方式依賴社會工程學和一種名為 ClickFix 的技術。在這種攻擊活動中,攻擊者會創建一個模仿 CleanMyMac 官方軟體網站的詐騙網站。訪客以為自己正在下載正版應用程序,但實際上卻會看到異常的安裝說明。
使用者不會收到正常的安裝程式文件,而是被指示打開 macOS 終端機並貼上命令來完成安裝過程。執行此命令後,它會下載並執行一個隱藏腳本,該腳本會安裝 SHub 惡意軟體。
攻擊過程通常會以以下方式展開:
- 受害者造訪了一個冒充 CleanMyMac 下載頁面的虛假網站。
- 該網站指示用戶打開終端並貼上提供的命令以完成安裝。
- 執行指令會下載並執行一個隱藏腳本,該腳本會將 SHub 安裝到系統上。
由於受害者是手動執行這些步驟的,因此該攻擊可以繞過一些傳統的安全警告。
安全風險及潛在後果
SHub 因其強大的資料收集能力和長期持久化特性,對 macOS 使用者構成嚴重威脅。一旦安裝,它就能悄無聲息地竊取敏感訊息,並使攻擊者能夠持續遠端存取受感染的設備。
這種惡意軟體的受害者可能會面臨多種後果,包括:
鑑於SHub能夠收集的資訊量龐大,預防感染至關重要。使用者在下載軟體時應保持謹慎,避免執行來自不可信來源的命令,並核實提供下載的網站是否合法。及早發現並立即清除惡意軟體對於防止資料進一步洩露至關重要。
