Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mac Kötü Amaçlı Yazılım SHub Hırsızı

SHub Hırsızı

Mezo'de Mac Kötü Amaçlı Yazılım, Hırsızlar'de
Çevir:

SHub, özellikle macOS sistemlerini tehlikeye atmak için tasarlanmış gelişmiş bir bilgi hırsızlığı kötü amaçlı yazılımıdır. Birincil amacı, tarayıcılardan, kripto para cüzdanlarından ve çeşitli sistem bileşenlerinden hassas bilgileri çıkarmaktır. Tehdit, kimlik bilgisi hırsızlığını, kripto para birimi hedeflemesini ve kalıcı erişim mekanizmalarını tek bir kampanya içinde birleştirdiği için özellikle tehlikelidir.

Bu kötü amaçlı yazılım, kullanıcıları kötü amaçlı komutları kendileri çalıştırmaya kandıran aldatıcı yöntemlerle yaygın olarak dağıtılır. Aktif hale geldiğinde, SHub sessizce değerli veriler toplar ve bulaşmış cihaza uzun süreli erişim sağlayabilir. Toplayabileceği bilgi miktarı nedeniyle, bu tehdit finansal kayıplar, kimlik hırsızlığı ve hesap güvenliğinin tehlikeye atılması gibi ciddi riskler taşır. Bir sistemde SHub tespit edilirse, derhal kaldırılması şarttır.

İlk Enfeksiyon ve Sistem Doğrulaması

Bulaşma süreci, kurbanın Mac bilgisayarında çalışan bir yükleyici ile başlar. Tam kötü amaçlı yazılım yükünü dağıtmadan önce, bu yükleyici sistemde çeşitli kontroller gerçekleştirir. En dikkat çekici kontrollerden biri, sistemde Rusça klavye düzeninin varlığını incelemektir. Böyle bir klavye tespit edilirse, kötü amaçlı yazılım çalışmasını sonlandırır ve bu bilgiyi saldırganlara iletir.

Doğrulama aşaması başarılı olursa, yükleyici temel sistem ayrıntılarını toplar ve saldırganların altyapısına iletir. Bu ayrıntılar arasında cihazın IP adresi, ana bilgisayar adı, macOS sürümü ve klavye dil ayarları bulunur. Bu bilgiler, saldırganların daha ileri işlemlere geçmeden önce bulaşmış makinenin profilini çıkarmalarına yardımcı olur.

Ardından, kötü amaçlı yazılım, meşru bir macOS parola istemi gibi görünen bir komut dosyası indirir. Bu sahte istem, kullanıcının sistem parolasını rutin bir şekilde istiyormuş gibi görünür. Kurban parolayı girerse, saldırganlar kaydedilmiş parolalar, Wi-Fi kimlik bilgileri ve özel şifreleme anahtarları gibi son derece hassas bilgileri depolayan macOS Anahtar Zinciri'nin kilidini açma yeteneği kazanır.

Tarayıcılardan ve Cüzdanlardan Kapsamlı Veri Toplama

Sisteme erişim sağlandıktan sonra, SHub, web tarayıcılarında ve kripto para uygulamalarında depolanan değerli verileri taramaya başlar. Kötü amaçlı yazılım, Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi ve Coccoc dahil olmak üzere çok çeşitli Chromium tabanlı tarayıcıları hedef alır. Ayrıca Firefox'u da hedef alır.

Bu kötü amaçlı yazılım, tarayıcılardan tüm kullanıcı profillerindeki depolanmış kimlik bilgilerini, çerezleri, otomatik doldurma bilgilerini ve diğer profil verilerini çıkarır. Ayrıca, kripto para cüzdanı uzantılarını aramak için yüklü tarayıcı uzantılarını da inceler.

SHub, yüzün üzerinde bilinen kripto para cüzdanından bilgi çalabiliyor. Örnekler arasında Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom ve Trust Wallet yer alıyor. Saldırganlar, bu uzantılara erişerek kimlik doğrulama belirteçlerini, cüzdan erişim verilerini ve kripto para hesaplarıyla bağlantılı diğer hassas bilgileri elde edebiliyor.

Masaüstü Kripto Para Uygulamalarını Hedefleme

Tarayıcı tabanlı cüzdanlara ek olarak, SHub, sistemde kurulu masaüstü kripto para cüzdan uygulamalarına da yoğun olarak odaklanmaktadır. Bu kötü amaçlı yazılım, Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite ve Wasabi dahil olmak üzere çok sayıda cüzdandan veri toplamaktadır.

Bu uygulamalardan elde edilen hassas veriler arasında cüzdan kimlik bilgileri, özel anahtarlar ve diğer kimlik doğrulama bilgileri yer alabilir. Bu veriler, saldırganların kripto para varlıkları üzerinde doğrudan kontrol sahibi olmalarını sağlayabilir.

Cüzdan yazılımlarının ötesinde, SHub macOS ortamından diğer hassas bilgileri de toplar. macOS Anahtar Zinciri'nden, iCloud hesap bilgilerinden, Safari çerezlerinden ve tarama geçmişinden, Apple Notlar veritabanlarından ve Telegram oturum dosyalarından veri alır. Kötü amaçlı yazılım ayrıca .zsh_history, .bash_history ve .gitconfig dosyalarını da kopyalar. Bu dosyalar özellikle değerlidir çünkü komut geçmişlerinde veya yapılandırma ayarlarında saklanan API anahtarlarını, kimlik doğrulama belirteçlerini veya diğer geliştirici kimlik bilgilerini içerebilirler.

Sürekli Veri Hırsızlığı İçin Cüzdan Manipülasyonu

SHub, yalnızca depolanmış bilgileri toplamakla kalmaz. Ayrıca, ilk güvenlik açığından sonra bile sürekli veri hırsızlığını sürdürmek için belirli kripto para cüzdanı uygulamalarını da değiştirebilir.

Kötü amaçlı yazılım, Atomic Wallet, Exodus, Ledger Live, Ledger Wallet veya Trezor Suite gibi cüzdanları tespit ederse, 'app.asar' olarak bilinen önemli bir uygulama bileşenini kötü amaçlı bir sürümle değiştirir. Bu değiştirilmiş dosya, arka planda sessizce çalışırken, cüzdan uygulamasının kullanıcı açısından normal şekilde çalışmaya devam etmesine olanak tanır.

Bu değişiklik sayesinde, ele geçirilen cüzdan uygulamaları hassas bilgileri saldırganlara iletmeye devam eder. Çalınan veriler arasında cüzdan şifreleri, kurtarma kelimeleri ve kurtarma ifadeleri yer alabilir. Kötü amaçlı yazılımın bazı varyantları, kullanıcıları kurtarma kelimelerini doğrudan girmeye kandırmak için sahte kurtarma istemleri veya güvenlik güncelleme mesajları gösterebilir.

Kalıcılık ve Uzaktan Kontrol Yetenekleri

Ele geçirilen sisteme uzun süreli erişimi sürdürmek için SHub, saldırganların enfekte cihazla iletişim kurmasını sağlayan bir arka kapı mekanizması kurar. Kötü amaçlı yazılım, 'com.google.keystone.agent.plist' adında bir arka plan görevi oluşturur. Bu isim, Google'ın meşru güncelleme hizmetine benzeyecek şekilde kasıtlı olarak seçilmiştir ve bu da tespit edilme olasılığını azaltır.

Bu arka plan görevi her çalıştığında, Mac'in benzersiz donanım tanımlayıcısını uzak bir sunucuya gönderen ve saldırganlardan gelen talimatları kontrol eden gizli bir komut dosyası başlatır. Bu özellik, tehdit aktörlerinin cihazı uzaktan kontrol etmelerine ve gerektiğinde ek komutlar yürütmelerine olanak tanır.

Kurulum sırasında kurbanı uyarmamak için, kötü amaçlı yazılım, uygulamanın desteklenmediğini belirten yanıltıcı bir hata mesajı görüntüler. Bu mesaj, kötü amaçlı yazılımın başarıyla kurulmuş olmasına rağmen, kullanıcıların kurulum işleminin başarısız olduğuna inanmalarına yol açar.

ClickFix Tekniğiyle Dağıtım

SHub'ın başlıca dağıtım yöntemi, sosyal mühendislik ve ClickFix olarak bilinen bir tekniğe dayanmaktadır. Bu kampanyada, saldırganlar meşru CleanMyMac yazılım sitesini taklit eden sahte bir web sitesi oluştururlar. Gerçek uygulamayı indirdiklerini düşünen ziyaretçilere bunun yerine alışılmadık kurulum talimatları sunulur.

Kullanıcılar normal bir yükleyici dosyası almak yerine, macOS Terminalini açıp yükleme işlemini tamamlamak için bir komut yapıştırmaları yönünde yönlendirilirler. Bu komut yürütüldüğünde, SHub kötü amaçlı yazılımını yükleyen gizli bir komut dosyası indirilir ve çalıştırılır.

Saldırı dizisi tipik olarak şu şekilde gelişir:

  • Kurban, CleanMyMac indirme sayfasını taklit eden sahte bir web sitesini ziyaret ediyor.
  • Site, kullanıcının Terminal'i açıp kurulumun bir parçası olarak verilen komutu yapıştırmasını istiyor.
  • Bu komutu çalıştırmak, sisteme SHub'ı kuran gizli bir betiği indirir ve çalıştırır.

Kurban bu adımları manuel olarak gerçekleştirdiği için, saldırı bazı geleneksel güvenlik uyarılarını atlatabilir.

Güvenlik Riskleri ve Potansiyel Sonuçları

SHub, kapsamlı veri toplama yetenekleri ve uzun süreli kalıcılık özellikleri nedeniyle macOS kullanıcıları için ciddi bir tehdit oluşturmaktadır. Kurulduktan sonra, sessizce hassas bilgileri toplayabilir ve saldırganlara ele geçirilen cihaza sürekli uzaktan erişim sağlayabilir.

Bu kötü amaçlı yazılımın kurbanları çeşitli sonuçlarla karşılaşabilir, bunlar arasında şunlar yer alır:

  • Güvenliği ihlal edilmiş cüzdan uygulamalarından kripto para hırsızlığı.
  • Kişisel verilerin ve kimlik bilgilerinin çalınması sonucu ortaya çıkan kimlik hırsızlığı.
  • Çevrimiçi hesaplara ve hizmetlere yetkisiz erişim
  • API anahtarları veya kimlik doğrulama belirteçleri gibi geliştirici sırlarının ifşa edilmesi

SHub'ın toplayabileceği bilgi miktarı göz önüne alındığında, enfeksiyonu önlemek kritik önem taşımaktadır. Kullanıcılar yazılım indirirken dikkatli olmalı, güvenilmeyen kaynaklardan komut çalıştırmaktan kaçınmalı ve indirme imkanı sunan web sitelerinin meşru olduğunu doğrulamalıdır. Veri güvenliğinin daha fazla tehlikeye atılmasını önlemek için kötü amaçlı yazılımın erken tespiti ve derhal kaldırılması şarttır.

trend

En çok görüntülenen

Yükleniyor...