Ένας πειστικός ψεύτικος ιστότοπος που υποδύεται το δημοφιλές βοηθητικό πρόγραμμα Mac CleanMyMac ωθεί ενεργά το επικίνδυνο κακόβουλο λογισμικό macOS που ονομάζεται SHub Stealer σε ανυποψίαστους χρήστες.
Ο ιστότοπος, που φιλοξενείται στο cleanmymacos[.]org, δεν έχει καμία σύνδεση με το πραγματικό λογισμικό CleanMyMac ή τους προγραμματιστές του, MacPaw.
Μόλις εισέλθει σε ένα σύστημα, το SHub Stealer συλλέγει αποθηκευμένους κωδικούς πρόσβασης, δεδομένα προγράμματος περιήγησης, περιεχόμενα Apple Keychain, αρχεία πορτοφολιού κρυπτονομισμάτων και δεδομένα περιόδου λειτουργίας Telegram.
Η επίθεση βασίζεται στο ClickFix, μια μέθοδο που εξαπατά τους επισκέπτες να ανοίξουν το Terminal και να επικολλήσουν αυτό που φαίνεται να είναι μια εντολή εγκατάστασης.
Αυτή η εντολή κάνει τρία πράγματα: εκτυπώνει έναν ψεύτικο σύνδεσμο MacPaw για να φαίνεται νόμιμος, αποκωδικοποιεί μια κρυφή διεύθυνση URL βάσης 64 για να κρύψει τον πραγματικό προορισμό, στη συνέχεια κατεβάζει και εκτελεί ένα κακόβουλο σενάριο φλοιού από τον διακομιστή του εισβολέα.
Δεδομένου ότι ο χρήστης εκτελεί την εντολή μόνος του, οι άμυνες του macOS όπως οι έλεγχοι Gatekeeper, XProtect και συμβολαιογραφικές επιταγές προσφέρουν λίγη προστασία.
Οι ερευνητές του Malwarebytes εντόπισαν την καμπάνια και ανέλυσε την πλήρη αλυσίδα επιθέσεων, σημειώνοντας ότι το SHub ανήκει σε μια αυξανόμενη οικογένεια υπολογιστών πληροφοριών macOS που βασίζονται σε AppleScript που περιλαμβάνει το MacSync Stealer και το Odyssey Stealer.
Η Malwarebytes ανακάλυψε επίσης ότι το SHub προχωρά πολύ πιο μακριά από τους συγγενείς του, με αναγνωριστικά παρακολούθησης ανά θύμα, λογική γεωγραφικής προστασίας και δυνατότητα μόνιμης παρασκηνιακής εγκατάστασης εφαρμογών πορτοφολιού κρυπτονομισμάτων.
Πριν από την εκκίνηση του κύριου ωφέλιμου φορτίου, ένα σενάριο φόρτωσης ελέγχει εάν είναι εγκατεστημένο πληκτρολόγιο ρωσικής γλώσσας. Εάν βρεθεί, σηματοδοτεί τον διακομιστή του εισβολέα με ένα cis_blocked συμβάν και εξέρχεται χωρίς λήψη δεδομένων.
Αυτή η συμπεριφορά geofencing είναι κοινή σε κακόβουλο λογισμικό που συνδέεται με ρωσόφωνα εγκληματικά δίκτυα, τα οποία αποφεύγουν τη μόλυνση μηχανών σε χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών για να μειώσουν τον έλεγχο από τις τοπικές αρχές επιβολής του νόμου.
Τα μηχανήματα που περνούν αυτόν τον έλεγχο αποστέλλονται στον διακομιστή εντολών και ελέγχου στη διεύθυνση IP, έκδοση macOS και όνομα κεντρικού υπολογιστή στο res2erch-sl0ut[.]com.
Πώς SHub Backdoors Crypto Wallet Apps
Αυτό που κάνει το SHub μοναδικά επικίνδυνο είναι αυτό που κάνει αφού ολοκληρώσει την αρχική του κλοπή.
Εάν εντοπίσει ορισμένες εφαρμογές πορτοφολιού κρυπτονομισμάτων στο παραβιασμένο μηχάνημα, αντικαθιστά σιωπηλά το βασικό λογικό αρχείο κάθε εφαρμογής με μια backdoored έκδοση που φαίνεται και λειτουργεί κανονικά, αλλά εκμεταλλεύεται τα διαπιστευτήρια στο παρασκήνιο.
Οι πέντε επιβεβαιωμένοι στόχοι είναι το Exodus, το Atomic Wallet, το Ledger Wallet, το Ledger Live και το Trezor Suite — όλα βασισμένα στο Electron, ένα πλαίσιο επιφάνειας εργασίας όπου η συμπεριφορά της εφαρμογής ζει σε ένα αρχείο που ονομάζεται app.asar.
Το SHub τερματίζει το πορτοφόλι που τρέχει, κατεβάζει ένα τροποποιημένο app.asar από τον διακομιστή C2, αντικαθιστά το πρωτότυπο, αφαιρεί την υπογραφή του κώδικα και υπογράφει ξανά την εφαρμογή, ώστε το macOS να την αποδεχτεί.
Το Exodus και το Atomic Wallet έχουν διαμορφωθεί για να στέλνουν αθόρυβα τον κωδικό πρόσβασης και τη φράση αρχικής σελίδας του χρήστη στο wallets-gate[.]io/api/injection κάθε φορά που το πορτοφόλι ξεκλειδώνεται.
.webp.jpeg)
Το Ledger Wallet και το Ledger Live έχουν απενεργοποιημένη την επικύρωση TLS κατά την εκκίνηση και εμφανίζουν έναν ψεύτικο οδηγό ανάκτησης που συλλέγει τη φράση αρχικής σελίδας πριν την στείλει στο ίδιο τελικό σημείο.
Το Trezor Suite λαμβάνει μια επικάλυψη πλήρους οθόνης με στυλ που ταιριάζει με την πραγματική του διεπαφή, παρουσιάζοντας μια ψεύτικη ενημέρωση ασφαλείας που ζητά τη φράση αρχική, την επικυρώνει χρησιμοποιώντας τη βιβλιοθήκη BIP39 της ίδιας της εφαρμογής και τη στέλνει.
.webp.jpeg)
Και οι πέντε κερκόπορτες εφαρμογές εκμεταλλεύονται το ίδιο wallets-gate[.]io τελικό σημείο χρησιμοποιώντας το ίδιο κλειδί API και το ίδιο αναγνωριστικό έκδοσης, που δείχνει σε έναν μόνο τελεστή.
Για μακροπρόθεσμη πρόσβαση, το SHub εγκαθιστά μια εργασία παρασκηνίου με το όνομα com.google.keystone.agent.plist σε ~/Library/LaunchAgents/υποδύεται το πρόγραμμα ενημέρωσης Keystone της Google και το εκτελεί κάθε εξήντα δευτερόλεπτα για να εκτελέσει απομακρυσμένες εντολές.
Εάν εκτελέσατε την εντολή Terminal από cleanmymacos[.]orgενεργήστε τώρα:
- Μην εκτελέσετε την εντολή αν δεν το έχετε ήδη κάνει και κλείστε αμέσως τη σελίδα.
- Πλοηγηθείτε στο
~/Library/LaunchAgents/και διαγραφήcom.google.keystone.agent.plistεάν υπάρχει. - Ελεγχος
~/Library/Application Support/Google/και αφαιρέστε τοGoogleUpdate.appφάκελο εάν βρεθεί. - Εάν κάποια από τις πέντε στοχευμένες εφαρμογές πορτοφολιού εγκαταστάθηκε κατά την εκτέλεση της εντολής, αντιμετωπίστε τη φράση αρχικής σελίδας ως πλήρως εκτεθειμένη και μετακινήστε χρήματα σε ένα νέο πορτοφόλι σε μια καθαρή συσκευή, καθώς δεν είναι δυνατή η αλλαγή των βασικών φράσεων.
- Αλλάξτε τον κωδικό πρόσβασης σύνδεσης στο macOS και τυχόν διαπιστευτήρια που είναι αποθηκευμένα στο Keychain από μια αξιόπιστη συσκευή.
- Ανάκληση και αναγέννηση τυχόν κλειδιών API ή κλειδιών SSH που βρίσκονται στα αρχεία ιστορικού του κελύφους σας.
