複数ライセンス割引見積
脅威データベース Mac マルウェア SHub Stealer

SHub Stealer

Mac マルウェア, スティーラーズMezoまで
翻訳内容:

SHubは、macOSシステムを標的とした高度な情報窃盗マルウェアです。その主な目的は、ブラウザ、仮想通貨ウォレット、および各種システムコンポーネントから機密情報を抽出することです。この脅威は、認証情報の窃盗、仮想通貨の標的化、および永続的なアクセスメカニズムを単一の攻撃キャンペーン内で組み合わせているため、特に危険です。

このマルウェアは、ユーザーを騙して悪意のあるコマンドを実行させるという巧妙な手口で拡散されるのが一般的です。SHubは一度アクティブになると、貴重なデータを密かに収集し、感染したデバイスへの長期的なアクセスを維持します。収集できる情報の範囲が広いため、この脅威は金銭的損失、個人情報の盗難、アカウントの侵害など、深刻なリスクをもたらします。システム上でSHubが発見された場合は、直ちに駆除することが不可欠です。

初期感染とシステム検証

感染プロセスは、被害者のMac上で実行されるローダーから始まります。このローダーは、マルウェアのペイロード全体を展開する前に、システムに対していくつかのチェックを実行します。最も重要なチェックの1つは、システムにロシア語キーボードレイアウトが存在するかどうかを調べることです。そのようなキーボードが検出されると、マルウェアは実行を終了し、その情報を攻撃者に報告します。

検証段階が成功すると、ローダーは基本的なシステム情報を収集し、攻撃者のインフラストラクチャに送信します。これらの情報には、デバイスのIPアドレス、ホスト名、macOSのバージョン、キーボードの言語設定などが含まれます。この情報は、攻撃者が感染したマシンをプロファイリングし、その後のアクションを実行するのに役立ちます。

その後、マルウェアは正規のmacOSパスワード入力画面を装ったスクリプトをダウンロードします。この偽の画面は、一見すると通常のシステムパスワード入力画面のように見えます。被害者がパスワードを入力すると、攻撃者はmacOSキーチェーンのロックを解除できるようになります。キーチェーンには、保存されたパスワード、Wi-Fi認証情報、秘密鍵などの機密情報が保存されています。

ブラウザとウォレットからの広範なデータ収集

システムへのアクセスが確保されると、SHubはデバイスをスキャンし、Webブラウザや暗号通貨アプリケーションに保存されている貴重なデータを探し出します。このマルウェアは、Arc、Brave、Chrome、Chrome Beta、Chrome Canary、Chrome DevTools、Chromium、Edge、Opera、Opera GX、Orion、Sidekick、Vivaldi、Coccocなど、幅広いChromiumベースのブラウザを標的としています。また、Firefoxも標的となります。

このマルウェアは、これらのブラウザから、すべてのユーザープロファイルに保存されている認証情報、Cookie、自動入力情報、その他のプロファイルデータを抽出します。また、インストールされているブラウザ拡張機能を検査し、暗号通貨ウォレット拡張機能を探します。

SHubは、100種類以上の既知の仮想通貨ウォレットから情報を盗み出す能力を持っています。例としては、Coinbase Wallet、Exodus Web3、Keplr、MetaMask、Phantom、Trust Walletなどが挙げられます。攻撃者はこれらの拡張機能にアクセスすることで、認証トークン、ウォレットアクセスデータ、および仮想通貨アカウントに関連付けられたその他の機密情報を取得できます。

デスクトップ暗号通貨アプリケーションをターゲットとする

SHubは、ブラウザベースのウォレットに加え、システムにインストールされているデスクトップ版の暗号通貨ウォレットアプリケーションにも重点的に攻撃を仕掛けます。このマルウェアは、Atomic Wallet、Binance、Bitcoin Core、BlueWallet、Coinomi、Dogecoin Core、Electrum、Exodus、Guarda、Ledger Live、Ledger Wallet、Litecoin Core、Monero、Sparrow、TON Keeper、Trezor Suite、Wasabiなど、多数のウォレットからデータを収集します。

これらのアプリケーションから抽出される機密データには、ウォレットの認証情報、秘密鍵、その他の認証情報が含まれる可能性があります。これらのデータによって、攻撃者は仮想通貨の保有状況を直接制御できるようになる可能性があります。

SHubはウォレットソフトウェア以外にも、macOS環境から様々な機密情報を収集します。macOSキーチェーン、iCloudアカウント情報、SafariのCookieと閲覧履歴、Apple Notesデータベース、Telegramセッションファイルからデータを取得します。さらに、.zsh_history、.bash_history、.gitconfigファイルもコピーします。これらのファイルには、コマンド履歴や設定に保存されているAPIキー、認証トークン、その他の開発者認証情報が含まれている可能性があるため、特に価値があります。

継続的なデータ窃盗のためのウォレット操作

SHubは単に保存された情報を収集するだけではありません。特定の暗号通貨ウォレットアプリケーションを改変することで、最初の侵害後も継続的なデータ窃盗を維持することも可能です。

このマルウェアは、Atomic Wallet、Exodus、Ledger Live、Ledger Wallet、Trezor Suiteなどのウォレットを検出すると、「app.asar」と呼ばれる重要なアプリケーションコンポーネントを悪意のあるバージョンに置き換えます。この改変されたファイルはバックグラウンドで静かに動作し、ユーザーからはウォレットアプリケーションが正常に動作しているように見えます。

この改変により、侵害されたウォレットアプリケーションは、攻撃者に対して機密情報を送信し続けます。盗まれたデータには、ウォレットのパスワード、シードフレーズ、リカバリーフレーズなどが含まれる可能性があります。マルウェアの中には、偽のリカバリープロンプトやセキュリティアップデートメッセージを表示して、ユーザーを騙してシードフレーズを直接入力させるものも存在します。

持続性と遠隔制御機能

SHubは、侵害されたシステムへの長期的なアクセスを維持するために、攻撃者が感染したデバイスと通信できるようにするバックドア機構をインストールします。このマルウェアは、「com.google.keystone.agent.plist」という名前のバックグラウンドタスクを作成します。この名前は、Googleの正規のアップデートサービスに似せるように意図的に選ばれており、検出される可能性を低くしています。

このバックグラウンドタスクが実行されるたびに、隠されたスクリプトが起動され、Mac固有のハードウェア識別子をリモートサーバーに送信し、攻撃者からの指示を確認します。この機能により、攻撃者はデバイスをリモートで制御し、必要に応じて追加のコマンドを実行できます。

インストール中に被害者に気づかれないようにするため、このマルウェアは「アプリケーションがサポートされていません」という偽のエラーメッセージを表示します。このメッセージによって、マルウェアは既に正常に展開されているにもかかわらず、ユーザーはインストールプロセスが失敗したと誤解してしまいます。

ClickFix技術による配信

SHubの主な配布方法は、ソーシャルエンジニアリングとClickFixと呼ばれる手法に依存しています。このキャンペーンでは、攻撃者は正規のCleanMyMacソフトウェアサイトを模倣した偽のウェブサイトを作成します。本物のアプリケーションをダウンロードしていると思い込んでいる訪問者には、実際には不審なインストール手順が表示されます。

通常のインストーラーファイルを受け取る代わりに、ユーザーはmacOSターミナルを開いてコマンドを貼り付けてインストールプロセスを完了するように指示されます。このコマンドを実行すると、隠蔽されたスクリプトがダウンロードされて実行され、SHubマルウェアがインストールされます。

攻撃の手順は通常、次のように展開します。

  • 被害者は、CleanMyMacのダウンロードページを装った偽のウェブサイトにアクセスする。
  • サイトでは、インストール手順の一環として、ターミナルを開いて指定されたコマンドを貼り付けるようユーザーに指示している。
  • このコマンドを実行すると、隠しスクリプトがダウンロードされ、実行されます。このスクリプトによって、SHubがシステムにインストールされます。

被害者がこれらの手順を手動で行うため、この攻撃は従来のセキュリティ警告の一部を回避できる可能性がある。

セキュリティリスクと潜在的な影響

SHubは、その広範なデータ収集機能と長期的な永続性機能により、macOSユーザーにとって深刻な脅威となります。一度インストールされると、機密情報を密かに収集し、攻撃者に侵害されたデバイスへの継続的なリモートアクセスを提供します。

このマルウェアの被害者は、以下のような様々な影響を受ける可能性があります。

  • 侵害されたウォレットアプリからの仮想通貨の盗難
  • 盗まれた個人データや認証情報に起因する個人情報盗難
  • オンラインアカウントおよびサービスへの不正アクセス
  • APIキーや認証トークンなどの開発者秘密情報の漏洩

SHubが収集できる情報量を考えると、感染を防ぐことは極めて重要です。ユーザーはソフトウェアをダウンロードする際には十分注意し、信頼できないソースからのコマンドの実行を避け、ダウンロードを提供するウェブサイトが正規のものであることを確認する必要があります。マルウェアの早期発見と即時駆除は、さらなるデータ侵害を防ぐために不可欠です。

トレンド

Zareusランサムウェア

ランサムウェア
サイバー犯罪者は、ZareuS Ransomwareとして追跡される新しいマルウェアの脅威で、コンピューターユーザーの個人データを標的にしています。この脅威は、感染したデバイスに保存されているファイルをロックするために十分に強力な暗号化アルゴリズムを利用しています。影響を受けるユーザーは、ドキュメント、データベース、アーカイブ、写真、オーディオおよびビデオファイル、さらにはそれ以上のファイル...

Bspojzo ランサムウェア

ランサムウェア
Bspojzo は、ランサムウェアのカテゴリに分類される脅威となるソフトウェアの一種です。その主な機能は、データを暗号化し、その後、復号化キーの提供と引き換えに支払いを要求することです。 Bspojzo がファイルを暗号化するとき、ファイル名に「.bspojzo」拡張子が追加されます。たとえば、「1.png」という名前のファイルは「1.png.bspojzo」として表示され、「2.doc」は...

プレクルードストア

不正なウェブサイト, ブラウザハイジャッカー
Precludestore.com は詐欺的なウェブサイトとして識別されており、そのアフィリエイト リンクは信頼できないとみなされています。通常、ユーザーは、ビデオのストリーミング、ソーシャル メディアのスクロール、その他のインターネット タスクの実行など、日常的なオンライン アクティビティ中に、URL を表示する予期しないポップアップ広告を介してこのサイトに遭遇します。ブラウザーを閉じると...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
38,010
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,425
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
31,052
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...