SHub-Dieb

Von Mezo in Mac-Malware, Diebe

Übersetzen Sie in:

SHub ist eine hochentwickelte Malware zum Datendiebstahl, die speziell für die Kompromittierung von macOS-Systemen entwickelt wurde. Ihr Hauptziel ist das Auslesen sensibler Daten aus Browsern, Kryptowährungs-Wallets und verschiedenen Systemkomponenten. Die Bedrohung ist besonders gefährlich, da sie den Diebstahl von Zugangsdaten, gezielte Angriffe auf Kryptowährungen und Mechanismen für dauerhaften Zugriff in einer einzigen Kampagne kombiniert.

Die Schadsoftware wird üblicherweise durch irreführende Methoden verbreitet, die Nutzer dazu verleiten, selbst schädliche Befehle auszuführen. Sobald SHub aktiv ist, sammelt es unbemerkt wertvolle Daten und kann sich dauerhaft Zugriff auf das infizierte Gerät verschaffen. Aufgrund des Umfangs der gesammelten Informationen birgt diese Bedrohung ernsthafte Risiken, darunter finanzielle Verluste, Identitätsdiebstahl und die Kompromittierung von Konten. Eine sofortige Entfernung ist unerlässlich, sobald SHub auf einem System entdeckt wird.

Inhaltsverzeichnis

Erstinfektion und Systemverifizierung

Der Infektionsprozess beginnt mit einem Loader, der auf dem Mac des Opfers ausgeführt wird. Bevor die eigentliche Schadsoftware ausgeführt wird, führt dieser Loader mehrere Systemprüfungen durch. Eine der wichtigsten Prüfungen ist die Untersuchung des Systems auf ein russisches Tastaturlayout. Wird ein solches Layout erkannt, beendet die Schadsoftware ihre Ausführung und meldet diese Information an die Angreifer.

Bei erfolgreicher Verifizierung erfasst und übermittelt der Loader grundlegende Systemdetails an die Infrastruktur der Angreifer. Zu diesen Details gehören die IP-Adresse des Geräts, der Hostname, die macOS-Version und die Tastaturspracheneinstellungen. Mithilfe dieser Informationen können die Angreifer ein Profil des infizierten Rechners erstellen, bevor sie weitere Aktionen durchführen.

Anschließend lädt die Schadsoftware ein Skript herunter, das als legitime macOS-Passwortabfrage getarnt ist. Diese gefälschte Abfrage fordert den Benutzer scheinbar routinemäßig zur Eingabe seines Systempassworts auf. Gibt das Opfer das Passwort ein, erhalten die Angreifer Zugriff auf den macOS-Schlüsselbund, in dem hochsensible Informationen wie gespeicherte Passwörter, WLAN-Zugangsdaten und private Verschlüsselungsschlüssel gespeichert sind.

Umfangreiche Datenerfassung von Browsern und Wallets

Sobald der Zugriff auf das System gesichert ist, scannt SHub das Gerät nach wertvollen Daten, die in Webbrowsern und Kryptowährungsanwendungen gespeichert sind. Die Schadsoftware zielt auf eine Vielzahl von Chromium-basierten Browsern ab, darunter Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi und Coccoc. Auch Firefox wird angegriffen.

Aus diesen Browsern extrahiert die Schadsoftware gespeicherte Anmeldeinformationen, Cookies, Autofill-Daten und andere Profildaten aller Benutzerprofile. Die Schadsoftware durchsucht außerdem installierte Browsererweiterungen nach Erweiterungen für Kryptowährungs-Wallets.

SHub kann Informationen aus über hundert bekannten Kryptowährungs-Wallets stehlen. Beispiele hierfür sind Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom und Trust Wallet. Durch den Zugriff auf diese Erweiterungen können Angreifer Authentifizierungstoken, Wallet-Zugriffsdaten und andere sensible Informationen zu Kryptowährungskonten erlangen.

Zielgruppenansprache von Desktop-Kryptowährungsanwendungen

Neben browserbasierten Wallets konzentriert sich SHub vor allem auf Desktop-Kryptowährungs-Wallet-Anwendungen, die auf dem System installiert sind. Die Malware sammelt Daten von einer Vielzahl von Wallets, darunter Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite und Wasabi.

Die aus diesen Anwendungen extrahierten sensiblen Daten können Wallet-Zugangsdaten, private Schlüssel und andere Authentifizierungsinformationen umfassen. Mithilfe dieser Daten können Angreifer die direkte Kontrolle über Kryptowährungsbestände erlangen.

Neben der Wallet-Software sammelt SHub auch andere sensible Daten aus der macOS-Umgebung. Es ruft Daten aus dem macOS-Schlüsselbund, iCloud-Kontoinformationen, Safari-Cookies und dem Browserverlauf, Apple Notes-Datenbanken und Telegram-Sitzungsdateien ab. Die Malware kopiert außerdem die Dateien .zsh_history, .bash_history und .gitconfig. Diese Dateien sind besonders wertvoll, da sie API-Schlüssel, Authentifizierungstoken oder andere Entwicklerzugangsdaten enthalten können, die in Befehlsverläufen oder Konfigurationseinstellungen gespeichert sind.

Wallet-Manipulation zum Zweck des fortgesetzten Datendiebstahls

SHub beschränkt sich nicht nur auf das Sammeln gespeicherter Informationen. Es kann auch bestimmte Kryptowährungs-Wallet-Anwendungen so verändern, dass der Datendiebstahl auch nach der ersten Kompromittierung fortgesetzt werden kann.

Erkennt die Schadsoftware Wallets wie Atomic Wallet, Exodus, Ledger Live, Ledger Wallet oder Trezor Suite, ersetzt sie eine wichtige Anwendungskomponente namens „app.asar“ durch eine manipulierte Version. Diese veränderte Datei arbeitet unbemerkt im Hintergrund, sodass die Wallet-Anwendung für den Benutzer weiterhin normal funktioniert.

Durch diese Modifikation übermitteln die kompromittierten Wallet-Anwendungen weiterhin sensible Informationen an die Angreifer. Zu den gestohlenen Daten können Wallet-Passwörter, Seed-Phrasen und Wiederherstellungsphrasen gehören. Einige Varianten der Schadsoftware sind in der Lage, gefälschte Wiederherstellungsaufforderungen oder Sicherheitsupdate-Meldungen anzuzeigen, um Benutzer zur direkten Eingabe ihrer Seed-Phrasen zu verleiten.

Persistenz- und Fernsteuerungsfunktionen

Um den langfristigen Zugriff auf das kompromittierte System zu sichern, installiert SHub einen Hintertürmechanismus, der es Angreifern ermöglicht, mit dem infizierten Gerät zu kommunizieren. Die Schadsoftware erstellt einen Hintergrundprozess namens „com.google.keystone.agent.plist“. Dieser Name wurde bewusst gewählt, um dem legitimen Update-Dienst von Google zu ähneln und so die Entdeckungswahrscheinlichkeit zu verringern.

Bei jeder Ausführung dieses Hintergrundprozesses wird ein verstecktes Skript gestartet, das die eindeutige Hardware-Kennung des Macs an einen entfernten Server sendet und auf Anweisungen der Angreifer prüft. Dadurch können die Angreifer das Gerät fernsteuern und bei Bedarf zusätzliche Befehle ausführen.

Um den Nutzer während der Installation nicht zu alarmieren, zeigt die Schadsoftware eine irreführende Fehlermeldung an, die besagt, dass die Anwendung nicht unterstützt wird. Diese Meldung erweckt bei den Nutzern den Eindruck, die Installation sei fehlgeschlagen, obwohl die Schadsoftware bereits erfolgreich installiert wurde.

Vertrieb über die ClickFix-Technik

Die primäre Verbreitungsmethode für SHub basiert auf Social Engineering und einer Technik namens ClickFix. Dabei erstellen Angreifer eine gefälschte Website, die die offizielle Website der CleanMyMac-Software imitiert. Besucher, die glauben, die authentische Anwendung herunterzuladen, erhalten stattdessen ungewöhnliche Installationsanweisungen.

Anstatt einer normalen Installationsdatei erhalten Benutzer die Anweisung, das macOS-Terminal zu öffnen und einen Befehl einzufügen, um die Installation abzuschließen. Bei Ausführung dieses Befehls wird ein verstecktes Skript heruntergeladen und ausgeführt, das die SHub-Malware installiert.

Die Angriffssequenz verläuft typischerweise wie folgt:

Das Opfer besucht eine gefälschte Webseite, die die Downloadseite von CleanMyMac nachahmt.
Die Website weist den Benutzer an, das Terminal zu öffnen und einen bereitgestellten Befehl als Teil der Installation einzufügen.
Durch Ausführen des Befehls wird ein verstecktes Skript heruntergeladen und ausgeführt, das SHub auf dem System installiert.

Da das Opfer diese Schritte manuell ausführt, kann der Angriff einige herkömmliche Sicherheitswarnungen umgehen.

Sicherheitsrisiken und mögliche Folgen

SHub stellt aufgrund seiner umfassenden Datenerfassungsfunktionen und seiner Fähigkeit zur langfristigen Persistenz eine ernsthafte Bedrohung für macOS-Nutzer dar. Nach der Installation kann es unbemerkt sensible Informationen sammeln und Angreifern dauerhaften Fernzugriff auf das kompromittierte Gerät ermöglichen.

Opfer dieser Schadsoftware können mit einer Reihe von Konsequenzen konfrontiert werden, darunter:

Kryptowährungsdiebstahl aus kompromittierten Wallet-Anwendungen

Identitätsdiebstahl durch gestohlene persönliche Daten und Zugangsdaten

Unbefugter Zugriff auf Online-Konten und -Dienste

Offenlegung von Entwicklergeheimnissen wie API-Schlüsseln oder Authentifizierungstoken

Angesichts der Menge an Informationen, die SHub sammeln kann, ist die Verhinderung einer Infektion von entscheidender Bedeutung. Nutzer sollten beim Herunterladen von Software vorsichtig sein, keine Befehle aus unbekannten Quellen ausführen und die Seriosität von Webseiten, die Downloads anbieten, überprüfen. Die frühzeitige Erkennung und sofortige Entfernung der Schadsoftware sind unerlässlich, um weitere Datenverluste zu verhindern.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

SHub-Dieb

Erstinfektion und Systemverifizierung

Umfangreiche Datenerfassung von Browsern und Wallets

Zielgruppenansprache von Desktop-Kryptowährungsanwendungen

Wallet-Manipulation zum Zweck des fortgesetzten Datendiebstahls

Persistenz- und Fernsteuerungsfunktionen

Vertrieb über die ClickFix-Technik

Sicherheitsrisiken und mögliche Folgen

Kommentar abgeben

Im Trend

Zareus-Ransomware

Bspojzo-Ransomware

Precludestore.com

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

So beheben Sie 'macOS kann nicht überprüfen, ob...

Discord zeigt beim Teilen des Bildschirms schwarzen...