Voleur de SHub

SHub est un logiciel malveillant sophistiqué de vol d'informations, conçu spécifiquement pour compromettre les systèmes macOS. Son objectif principal est d'extraire des informations sensibles des navigateurs, des portefeuilles de cryptomonnaies et de divers composants système. Cette menace est particulièrement dangereuse car elle combine le vol d'identifiants, le ciblage des cryptomonnaies et des mécanismes d'accès persistant au sein d'une même campagne.

Ce logiciel malveillant est généralement diffusé par des méthodes trompeuses qui incitent les utilisateurs à exécuter eux-mêmes des commandes malveillantes. Une fois actif, SHub collecte discrètement des données sensibles et peut maintenir un accès prolongé à l'appareil infecté. Compte tenu de l'étendue des informations qu'il peut collecter, cette menace représente un risque important, notamment des pertes financières, l'usurpation d'identité et le piratage de comptes. Il est donc essentiel de le supprimer immédiatement s'il est détecté sur un système.

Infection initiale et vérification du système

Le processus d'infection débute par l'exécution d'un programme d'installation sur le Mac de la victime. Avant de déployer l'intégralité du logiciel malveillant, ce programme effectue plusieurs vérifications sur le système. L'une des plus importantes consiste à rechercher la présence d'un clavier russe. Si un tel clavier est détecté, le logiciel malveillant interrompt son exécution et transmet cette information aux attaquants.

Si la vérification réussit, le programme de chargement collecte et transmet des informations système de base à l'infrastructure des attaquants. Ces informations comprennent l'adresse IP de l'appareil, son nom d'hôte, sa version de macOS et les paramètres de langue du clavier. Elles permettent aux attaquants de profiler la machine infectée avant de poursuivre leurs actions.

Ensuite, le logiciel malveillant télécharge un script se faisant passer pour une invite de mot de passe macOS légitime. Cette fausse invite semble demander le mot de passe système de l'utilisateur de manière classique. Si la victime saisit le mot de passe, les attaquants obtiennent l'accès au Trousseau d'accès macOS, qui stocke des informations hautement sensibles telles que les mots de passe enregistrés, les identifiants Wi-Fi et les clés de chiffrement privées.

Collecte exhaustive de données provenant des navigateurs et des portefeuilles électroniques

Une fois l'accès au système sécurisé, SHub commence à analyser l'appareil à la recherche de données sensibles stockées dans les navigateurs web et les applications de cryptomonnaie. Ce logiciel malveillant cible un large éventail de navigateurs basés sur Chromium, notamment Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi et Coccoc. Firefox est également visé.

À partir de ces navigateurs, le logiciel malveillant extrait les identifiants, les cookies, les informations de remplissage automatique et autres données de profil enregistrées pour tous les utilisateurs. Il examine également les extensions de navigateur installées à la recherche d'extensions de portefeuilles de cryptomonnaies.

SHub est capable de dérober des informations provenant de plus d'une centaine de portefeuilles de cryptomonnaies connus. Parmi ceux-ci figurent Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom et Trust Wallet. En accédant à ces extensions, les attaquants peuvent obtenir des jetons d'authentification, des données d'accès au portefeuille et d'autres informations sensibles liées aux comptes de cryptomonnaies.

Applications de cryptomonnaie pour ordinateurs de bureau ciblées

Outre les portefeuilles web, SHub cible principalement les applications de portefeuilles de cryptomonnaies installées sur ordinateur. Ce logiciel malveillant collecte des données provenant d'un grand nombre de portefeuilles, notamment Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite et Wasabi.

Les données sensibles extraites de ces applications peuvent inclure les identifiants de portefeuille, les clés privées et d'autres informations d'authentification. Ces données peuvent permettre aux attaquants de prendre un contrôle direct sur les avoirs en cryptomonnaie.

Outre les logiciels de portefeuille numérique, SHub collecte également d'autres informations sensibles de l'environnement macOS. Il récupère des données du Trousseau d'accès macOS, des informations de compte iCloud, des cookies et de l'historique de navigation Safari, des bases de données Apple Notes et des fichiers de session Telegram. Le logiciel malveillant copie en outre les fichiers .zsh_history, .bash_history et .gitconfig. Ces fichiers sont particulièrement précieux car ils peuvent contenir des clés API, des jetons d'authentification ou d'autres identifiants de développeur stockés dans l'historique des commandes ou les paramètres de configuration.

Manipulation de portefeuille pour vol de données continu

SHub ne se contente pas de collecter les informations stockées. Il peut également modifier certaines applications de portefeuilles de cryptomonnaies afin de poursuivre le vol de données même après la compromission initiale.

Si le logiciel malveillant détecte des portefeuilles numériques tels qu'Atomic Wallet, Exodus, Ledger Live, Ledger Wallet ou Trezor Suite, il remplace un composant essentiel de l'application, appelé « app.asar », par une version malveillante. Ce fichier modifié s'exécute discrètement en arrière-plan, permettant à l'application de portefeuille de continuer à fonctionner normalement pour l'utilisateur.

Grâce à cette modification, les applications de portefeuille compromises continuent de transmettre des informations sensibles aux attaquants. Les données volées peuvent inclure les mots de passe, les phrases de récupération et les phrases de phrase de récupération. Certaines variantes du logiciel malveillant sont capables d'afficher de fausses invites de récupération ou de faux messages de mise à jour de sécurité afin d'inciter les utilisateurs à saisir directement leurs phrases de récupération.

Persistance et capacités de contrôle à distance

Pour maintenir un accès permanent au système compromis, SHub installe une porte dérobée permettant aux attaquants de communiquer avec l'appareil infecté. Le logiciel malveillant crée une tâche en arrière-plan nommée « com.google.keystone.agent.plist ». Ce nom est choisi intentionnellement pour ressembler au service de mise à jour légitime de Google, réduisant ainsi les risques de détection.

Chaque fois que cette tâche en arrière-plan s'exécute, elle lance un script caché qui envoie l'identifiant matériel unique du Mac à un serveur distant et vérifie la présence d'instructions provenant des attaquants. Cette fonctionnalité permet aux acteurs malveillants de contrôler l'appareil à distance et d'exécuter des commandes supplémentaires à leur guise.

Pour éviter d'alerter la victime lors de l'installation, le logiciel malveillant affiche un message d'erreur trompeur indiquant que l'application n'est pas prise en charge. Ce message laisse croire aux utilisateurs que l'installation a échoué, alors que le logiciel malveillant a déjà été déployé avec succès.

Distribution via la technique ClickFix

Le principal mode de distribution de SHub repose sur l'ingénierie sociale et une technique appelée ClickFix. Dans cette campagne, les attaquants créent un site web frauduleux imitant le site légitime du logiciel CleanMyMac. Les visiteurs, croyant télécharger l'application authentique, se voient en réalité présenter des instructions d'installation inhabituelles.

Au lieu de recevoir un fichier d'installation classique, les utilisateurs sont invités à ouvrir le Terminal macOS et à y coller une commande pour achever l'installation. Cette commande télécharge et exécute un script caché qui installe le logiciel malveillant SHub.

Le déroulement de l'attaque est généralement le suivant :

• La victime se rend sur un faux site web imitant la page de téléchargement de CleanMyMac.
• Le site demande à l'utilisateur d'ouvrir le Terminal et de coller une commande fournie dans le cadre de l'installation.
• L'exécution de cette commande télécharge et exécute un script caché qui installe SHub sur le système.

Comme la victime effectue ces étapes manuellement, l'attaque peut contourner certains avertissements de sécurité traditionnels.

Risques de sécurité et conséquences potentielles

SHub représente une menace sérieuse pour les utilisateurs de macOS en raison de ses importantes capacités de collecte de données et de sa persistance à long terme. Une fois installé, il peut collecter discrètement des informations sensibles et permettre aux attaquants d'accéder à distance et en continu à l'appareil compromis.

Les victimes de ce logiciel malveillant peuvent être confrontées à diverses conséquences, notamment :

• Vol de cryptomonnaies via des applications de portefeuilles compromises

• Vol d'identité résultant du vol de données personnelles et d'identifiants

• Accès non autorisé aux comptes et services en ligne

• Divulgation de secrets de développeurs tels que les clés API ou les jetons d'authentification

Compte tenu de la quantité d'informations que SHub peut collecter, la prévention des infections est cruciale. Les utilisateurs doivent rester vigilants lors du téléchargement de logiciels, éviter d'exécuter des commandes provenant de sources non fiables et vérifier la légitimité des sites web proposant des téléchargements. La détection précoce et la suppression immédiate du logiciel malveillant sont essentielles pour éviter toute compromission supplémentaire des données.