ពួក Hacker ប្រើប្រាស់គេហទំព័រ CleanMyMac ក្លែងក្លាយដើម្បីដាក់ពង្រាយ SHub Stealer និងប្លន់យកលុយ Crypto

គេហទំព័រក្លែងក្លាយដ៏គួរឱ្យជឿជាក់មួយដែលក្លែងបន្លំជាឧបករណ៍ប្រើប្រាស់ Mac ដ៏ពេញនិយម CleanMyMac កំពុងជំរុញមេរោគ macOS ដ៏គ្រោះថ្នាក់មួយហៅថា SHub Stealer ទៅលើអ្នកប្រើប្រាស់ដែលមិនបានដឹងខ្លួន។

គេហទំព័រនេះ ដែលបង្ហោះនៅ cleanmymacos[.]org មិនមានទំនាក់ទំនងជាមួយកម្មវិធី CleanMyMac ពិតប្រាកដ ឬអ្នកអភិវឌ្ឍន៍របស់វាគឺ MacPaw ទេ។

នៅពេលដែលនៅខាងក្នុងប្រព័ន្ធ SHub Stealer ប្រមូលពាក្យសម្ងាត់ដែលបានរក្សាទុក ទិន្នន័យកម្មវិធីរុករក មាតិកា Apple Keychain ឯកសារកាបូបរូបិយប័ណ្ណគ្រីបតូ និងទិន្នន័យវគ្គ Telegram។

ការវាយប្រហារនេះពឹងផ្អែកលើ ClickFix ដែលជាវិធីសាស្ត្រមួយដែលបញ្ឆោតអ្នកទស្សនាឱ្យបើក Terminal ហើយបិទភ្ជាប់អ្វីដែលហាក់ដូចជាពាក្យបញ្ជាដំឡើង។

ពាក្យបញ្ជានោះធ្វើរឿងបីយ៉ាង៖ វាបោះពុម្ពតំណភ្ជាប់ MacPaw ក្លែងក្លាយឱ្យមើលទៅស្របច្បាប់ ឌិគ្រីប URL base64 ដែលលាក់ដើម្បីបិទបាំងគោលដៅពិត បន្ទាប់មកទាញយក និងដំណើរការស្គ្រីបសែលព្យាបាទពីម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារ។

ដោយសារអ្នកប្រើប្រាស់ដំណើរការពាក្យបញ្ជាដោយខ្លួនឯង ការការពារ macOS ដូចជា Gatekeeper, XProtect និងការត្រួតពិនិត្យ notarization ផ្តល់នូវការការពារតិចតួច។

អ្នកស្រាវជ្រាវ Malwarebytes បានកំណត់អត្តសញ្ញាណយុទ្ធនាការនេះ និងវិភាគខ្សែសង្វាក់វាយប្រហារពេញលេញ ដោយកត់សម្គាល់ថា SHub ជាកម្មសិទ្ធិរបស់ក្រុមគ្រួសារដែលកំពុងរីកចម្រើននៃ infostealers macOS ដែលមានមូលដ្ឋានលើ AppleScript ដែលរួមមាន MacSync Stealer និង Odyssey Stealer។

Malwarebytes ក៏បានរកឃើញផងដែរថា SHub រីកចម្រើនលើសពីសាច់ញាតិរបស់វា ជាមួយនឹងឧបករណ៍កំណត់អត្តសញ្ញាណតាមដានជនរងគ្រោះម្នាក់ៗ តក្កវិជ្ជា geofencing និងសមត្ថភាពក្នុងការដំឡើងកម្មវិធីកាបូបរូបិយប័ណ្ណគ្រីបតូដែលបានដំឡើងជាអចិន្ត្រៃយ៍។

មុនពេល payload សំខាន់ចាប់ផ្តើម ស្គ្រីប loader ពិនិត្យមើលថាតើក្តារចុចភាសារុស្ស៊ីត្រូវបានដំឡើងឬអត់។ ប្រសិនបើរកឃើញ វាផ្តល់សញ្ញាដល់ម៉ាស៊ីនមេរបស់អ្នកវាយប្រហារជាមួយនឹងព្រឹត្តិការណ៍ cis_blocked ហើយចេញដោយមិនយកទិន្នន័យណាមួយឡើយ។

ឥរិយាបថ geofencing នេះគឺជារឿងធម្មតានៅក្នុងមេរោគដែលភ្ជាប់ទៅនឹងបណ្តាញឧក្រិដ្ឋកម្មនិយាយភាសារុស្ស៊ី ដែលជៀសវាងការឆ្លងម៉ាស៊ីននៅក្នុងប្រទេស Commonwealth of Independent States ដើម្បីកាត់បន្ថយការត្រួតពិនិត្យពីការអនុវត្តច្បាប់ក្នុងស្រុក។

ម៉ាស៊ីនដែលឆ្លងកាត់ការត្រួតពិនិត្យនេះ នឹងមាន IP, កំណែ macOS និងឈ្មោះម៉ាស៊ីនរបស់ពួកគេត្រូវបានផ្ញើទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យនៅ res2erch-sl0ut[.]com។

របៀបដែល SHub Backdoors កម្មវិធីកាបូបលុយគ្រីបតូ

អ្វីដែលធ្វើឱ្យ SHub មានគ្រោះថ្នាក់ជាពិសេសគឺអ្វីដែលវាធ្វើបន្ទាប់ពីបញ្ចប់ការលួចដំបូងរបស់វា។

ប្រសិនបើវារកឃើញកម្មវិធីកាបូបលុយគ្រីបតូមួយចំនួននៅលើម៉ាស៊ីនដែលរងការលួច វានឹងជំនួសឯកសារតក្កវិជ្ជាស្នូលរបស់កម្មវិធីនីមួយៗដោយស្ងៀមស្ងាត់ជាមួយនឹងកំណែ backdoored ដែលមើលទៅ និងដំណើរការជាធម្មតា ប៉ុន្តែលួចយកព័ត៌មានសម្ងាត់នៅផ្ទៃខាងក្រោយ។

គោលដៅទាំងប្រាំដែលបានបញ្ជាក់គឺ Exodus, Atomic Wallet, Ledger Wallet, Ledger Live និង Trezor Suite — ទាំងអស់ត្រូវបានបង្កើតឡើងនៅលើ Electron ដែលជាក្របខ័ណ្ឌផ្ទៃតុដែលឥរិយាបថរបស់កម្មវិធីស្ថិតនៅក្នុងឯកសារមួយដែលមានឈ្មោះថា app.asar។

SHub បញ្ចប់កាបូបដែលកំពុងដំណើរការ ទាញយក app.asar ដែលបានកែប្រែពីម៉ាស៊ីនមេ C2 របស់វា សរសេរជាន់លើឯកសារដើម ដកហត្ថលេខាកូដចេញ និងចុះហត្ថលេខាឡើងវិញលើកម្មវិធី ដូច្នេះ macOS ទទួលយកវា។

Exodus និង Atomic Wallet ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីផ្ញើពាក្យសម្ងាត់ និងឃ្លាដើមរបស់អ្នកប្រើប្រាស់ដោយស្ងាត់ៗទៅកាន់ wallets-gate[.]io/api/injection រាល់ពេលដែលកាបូបត្រូវបានដោះសោ។

Ledger Wallet និង Ledger Live បានបិទការផ្ទៀងផ្ទាត់ TLS នៅពេលចាប់ផ្តើម ហើយបង្ហាញអ្នកជំនួយការសង្គ្រោះក្លែងក្លាយដែលប្រមូលឃ្លាដើមមុនពេលផ្ញើវាទៅកាន់ចំណុចបញ្ចប់ដូចគ្នា។

Trezor Suite ទទួលបានផ្ទាំងពេញអេក្រង់ដែលមានរចនាបថដើម្បីផ្គូផ្គងចំណុចប្រទាក់ពិតរបស់វា ដោយបង្ហាញការអាប់ដេតសុវត្ថិភាពក្លែងក្លាយដែលស្នើសុំឃ្លាដើម ផ្ទៀងផ្ទាត់វាដោយប្រើបណ្ណាល័យ BIP39 ផ្ទាល់ខ្លួនរបស់កម្មវិធី ហើយផ្ញើវាចេញ។

កម្មវិធី​ទាំង​ប្រាំ​ដែល​មាន​ទ្វារ​ខាងក្រោយ​លួច​ចូល​ទៅ​កាន់​ចំណុច​បញ្ចប់ wallets-gate[.]io ដូចគ្នា​ដោយ​ប្រើ​សោ API និង​លេខសម្គាល់​បង្កើត​ដូចគ្នា ដោយ​ចង្អុល​ទៅ​ប្រតិបត្តិករ​តែមួយ។

សម្រាប់​ការ​ចូល​ប្រើប្រាស់​រយៈពេល​វែង SHub ដំឡើង​ភារកិច្ច​ផ្ទៃខាងក្រោយ​មួយ​ឈ្មោះ com.google.keystone.agent.plist ក្នុង ~/Library/LaunchAgents/ ដោយ​ធ្វើ​ត្រាប់​តាម​កម្មវិធី​ធ្វើ​បច្ចុប្បន្នភាព Keystone របស់ Google ហើយ​ដំណើរការ​វា​រៀងរាល់​ហុកសិប​វិនាទី​ម្តង​ដើម្បី​ប្រតិបត្តិ​ពាក្យបញ្ជា​ពីចម្ងាយ។

ប្រសិនបើអ្នកបានដំណើរការពាក្យបញ្ជា Terminal ពី cleanmymacos[.]org សូមធ្វើសកម្មភាពឥឡូវនេះ៖

-កុំដំណើរការពាក្យបញ្ជាប្រសិនបើអ្នកមិនទាន់បានដំណើរការ ហើយបិទទំព័រភ្លាមៗ។

-ចូលទៅកាន់ ~/Library/LaunchAgents/ ហើយលុប com.google.keystone.agent.plist ប្រសិនបើមាន។

-ពិនិត្យមើល ~/Library/Application Support/Google/ ហើយលុបថត GoogleUpdate.app ប្រសិនបើរកឃើញ។

-ប្រសិនបើកម្មវិធីកាបូបគោលដៅទាំងប្រាំណាមួយត្រូវបានដំឡើងនៅពេលដែលពាក្យបញ្ជាដំណើរការ សូមចាត់ទុកឃ្លាដើមរបស់អ្នកថាត្រូវបានបង្ហាញយ៉ាងពេញលេញ ហើយផ្លាស់ទីមូលនិធិទៅកាបូបថ្មីនៅលើឧបករណ៍ស្អាត ព្រោះឃ្លាដើមមិនអាចផ្លាស់ប្តូរបានទេ។

ផ្លាស់ប្តូរពាក្យសម្ងាត់ចូល macOS របស់អ្នក និងព័ត៌មានសម្ងាត់ដែលរក្សាទុកដោយ Keychain ពីឧបករណ៍ដែលទុកចិត្ត។

លុបចោល និងបង្កើតសោ API ឬសោ SSH ណាមួយដែលមាននៅក្នុងឯកសារប្រវត្តិសែលរបស់អ្នក។