Ένας εξαιρετικά πειστικός ψεύτικος ιστότοπος που υποδύεται το δημοφιλές εργαλείο CleanMyMac χρησιμοποιείται για την εγκατάσταση του επικίνδυνου κακόβουλου λογισμικού SHub Stealer σε χρήστες macOS.
Ο ιστότοπος cleanmymacos[.]org δεν έχει καμία σχέση με το αυθεντικό λογισμικό της MacPaw. Το SHub Stealer είναι σχεδιασμένο να αποσπά αποθηκευμένους κωδικούς πρόσβασης, δεδομένα περιήγησης, περιεχόμενα του Apple Keychain, αρχεία από πορτοφόλια κρυπτονομισμάτων και δεδομένα συνεδριών του Telegram.
Η μέθοδος ClickFix και η παράκαμψη των αμυνών
Η επίθεση βασίζεται στη μέθοδο ClickFix, η οποία εξαπατά τους χρήστες ώστε να ανοίξουν το Τερματικό (Terminal) και να επικολλήσουν μια εντολή που μοιάζει με εντολή εγκατάστασης. Η εντολή αυτή εκτελεί τρεις ενέργειες: εμφανίζει έναν ψεύτικο σύνδεσμο της MacPaw για να φανεί νόμιμη, αποκωδικοποιεί μια κρυφή διεύθυνση URL και στη συνέχεια κατεβάζει και εκτελεί ένα κακόβουλο σενάριο κώδικα (script) από τον διακομιστή του επιτιθέμενου. Επειδή ο ίδιος ο χρήστης εκτελεί την εντολή, οι μηχανισμοί προστασίας του macOS, όπως το Gatekeeper και το XProtect, προσφέρουν ελάχιστη προστασία.
Πώς το SHub παραβιάζει εφαρμογές κρυπτοπορτοφολιών
Αυτό που καθιστά το SHub εξαιρετικά επικίνδυνο είναι η ικανότητά του να αντικαθιστά σιωπηλά τα αρχεία βασικής λογικής των εφαρμογών κρυπτοπορτοφολιών με παραβιασμένες εκδόσεις. Οι πέντε επιβεβαιωμένοι στόχοι είναι οι εφαρμογές Exodus, Atomic Wallet, Ledger Wallet, Ledger Live και Trezor Suite. Οι παραβιασμένες εκδόσεις λειτουργούν κανονικά στην εμφάνιση, αλλά στέλνουν τους κωδικούς πρόσβασης και τις φράσεις ανάκτησης (seed phrases) στους επιτιθέμενους κάθε φορά που ο χρήστης ξεκλειδώνει το πορτοφόλι του.
Γεωγραφικός αποκλεισμός και μόνιμη παρουσία
Πριν από την εκτόξευση του κύριου φορτίου, το κακόβουλο λογισμικό ελέγχει αν είναι εγκατεστημένο ρωσικό πληκτρολόγιο. Αν βρεθεί, η επίθεση διακόπτεται, μια πρακτική κοινή σε εγκληματικά δίκτυα που θέλουν να αποφεύγουν την προσοχή των αρχών στις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών. Για μακροπρόθεσμη πρόσβαση, το SHub εγκαθιστά μια εργασία παρασκηνίου με το όνομα com.google.keystone.agent.plist, υποδυόμενο έναν μηχανισμό ενημέρωσης της Google, η οποία εκτελείται κάθε εξήντα δευτερόλεπτα.
Οδηγίες για θύματα της επίθεσης
Αν εκτελέσατε την εντολή από τον ψεύτικο ιστότοπο, πρέπει να δράσετε αμέσως:
- Διαγράψτε το αρχείο com.google.keystone.agent.plist από τη διαδρομή ~/Library/LaunchAgents/.
- Αφαιρέστε τον φάκελο GoogleUpdate.app από τη διαδρομή ~/Library/Application Support/Google/.
Αν είχατε εγκατεστημένο κάποιο από τα πέντε στοχοποιημένα πορτοφόλια, θεωρήστε τη φράση ανάκτησής σας πλήρως εκτεθειμένη και μεταφέρετε τα κεφάλαιά σας σε νέο πορτοφόλι σε καθαρή συσκευή.
Αλλάξτε τον κωδικό πρόσβασης του macOS και όλους τους κωδικούς που είναι αποθηκευμένοι στο Keychain από μια έμπιστη συσκευή.