Jak usunąć program SHub z zainfekowanych systemów macOS

Czym jest złośliwe oprogramowanie SHub?

SHub to program służący do kradzieży danych, atakujący użytkowników systemu macOS. Potrafi on wyciągać dane z przeglądarek internetowych, portfeli kryptowalutowych i innych aplikacji. Jego rozpowszechnianie odbywa się za pośrednictwem fałszywej strony internetowej oraz przy użyciu techniki ClickFix. W przypadku wykrycia na urządzeniu program SHub należy jak najszybciej usunąć.

Przegląd programu SHub Stealer

Najpierw na urządzeniu ofiary uruchamia się moduł ładujący. Przed kontynuowaniem sprawdza on system. Jedna z kontroli dotyczy obecności rosyjskiej klawiatury. Jeśli ją wykryje, złośliwe oprogramowanie zatrzymuje się i zgłasza to atakującemu. Jeśli kontrola zakończy się pomyślnie, moduł ładujący wysyła cyberprzestępcom adres IP, nazwę hosta, wersję systemu macOS oraz język klawiatury.

Ponadto pobierany jest skrypt udający zwykłe okno logowania systemu macOS. Jeśli ofiara wpisze swoje hasło, złośliwe oprogramowanie może odblokować pęk kluczy, w którym przechowywane są wszystkie zapisane hasła, dane logowania do sieci Wi-Fi oraz klucze prywatne.

Po wykradzeniu hasła program SHub przeszukuje zainfekowany system macOS w poszukiwaniu różnych danych. Atakuje ponad 10 przeglądarek opartych na silniku Chromium, w tym Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi i Coccoc. Atakuje również przeglądarkę Firefox, wykradając zapisane hasła, pliki cookie oraz dane do automatycznego wypełniania ze wszystkich profili.

Ponadto SHub sprawdza wszystkie zainstalowane rozszerzenia przeglądarki. Potrafi wykraść dane z ponad stu znanych portfeli kryptowalutowych, w tym Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom i Trust Wallet.

SHub obsługuje również aplikacje kieszonkowe do obsługi kryptowalut. Gromadzi dane z takich portfeli, jak Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite, Wasabi i innych.

Ponadto program kradnie dane z pęku kluczy, konta iCloud, pliki cookie i historię przeglądania w przeglądarce Safari, bazy danych aplikacji Notatki oraz pliki sesji aplikacji Telegram. Kopiuje również pliki „.zsh_history”, „.bash_history” i „.gitconfig”, które mogą zawierać klucze API lub tokeny uwierzytelniające używane przez programistów.

Inne możliwości

SHub nie tylko kradnie dane, ale także modyfikuje niektóre aplikacje portfeli kryptowalutowych, aby móc nadal wykradać informacje w przyszłości. Jeśli wykryje portfele takie jak Atomic Wallet, Exodus, Ledger Live, Ledger Wallet lub Trezor Suite, zastępuje kluczowy plik aplikacji („app.asar”) złośliwą wersją. Plik ten działa w tle i sprawia, że aplikacja nadal funkcjonuje normalnie.

Zmodyfikowane aplikacje wysyłają następnie poufne dane do cyberprzestępców, takie jak hasła do portfeli, frazy seedowe lub frazy odzyskiwania. Niektóre wersje mogą wyświetlać fałszywe ekrany odzyskiwania lub aktualizacji zabezpieczeń, aby nakłonić użytkowników do podania swoich fraz seedowych.

Ponadto SHub instaluje backdoora, aby zachować dostęp do zainfekowanego urządzenia. Tworzy on zadanie działające w tle o nazwie „com.google.keystone.agent.plist”, które ma wyglądać jak legalna usługa aktualizacyjna Google. Za każdym razem, gdy zadanie to jest uruchamiane, uruchamia ono ukryty skrypt, który wysyła unikalny identyfikator sprzętowy komputera Mac na serwer i sprawdza, czy nie ma nowych poleceń.

Dzięki temu atakujący mogą zdalnie sterować urządzeniem do momentu wykrycia i usunięcia backdoora. Aby nie wzbudzać podejrzeń, SHub wyświetla fałszywy komunikat o błędzie informujący, że aplikacja nie jest obsługiwana, co sprawia, że ofiara sądzi, iż instalacja się nie powiodła.

Wnioski

SHub to wyrafinowane złośliwe oprogramowanie dla systemu macOS, które zapewnia atakującym długotrwały, niezauważalny dostęp do komputera Mac ofiary oraz do cennych informacji. Ofiary takich ataków mogą doświadczyć takich problemów, jak kradzież tożsamości, utrata kryptowalut, przejęcie kontroli nad kontami oraz inne negatywne konsekwencje. Dlatego też należy zachować ostrożność, aby uniknąć infekcji.

Inne przykłady złośliwego oprogramowania atakującego system macOS to Phexia, NovaStealer oraz MacSync.

W jaki sposób SHub przedostał się do mojego urządzenia?

Cyberprzestępcy wykorzystują fałszywą stronę internetową CleanMyMac, aby przekonać użytkowników, że pobierają oryginalną aplikację. Zamiast pobrać zwykły instalator, strona nakazuje odwiedzającym otworzyć Terminal i wkleić polecenie w ramach „instalacji”. Technika dystrybucji stosowana w tych atakach nosi nazwę ClickFix.

Gdy użytkownik uruchomi to polecenie, pobierany jest ukryty skrypt, który następnie zostaje wykonany, co prowadzi do zainfekowania systemu przez SHub.

Jak uniknąć złośliwego oprogramowania?

Zawsze pobieraj aplikacje z oficjalnych źródeł lub sprawdzonych sklepów z aplikacjami i unikaj pirackiego oprogramowania, cracków oraz nieoficjalnych aktywatorów. Dbaj o aktualność systemu operacyjnego i programów oraz regularnie skanuj urządzenie za pomocą sprawdzonego oprogramowania zabezpieczającego. Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości e-mail, komunikatów lub załączników i otwieraj pliki lub klikaj linki tylko wtedy, gdy masz pewność, że są bezpieczne.

Ignoruj podejrzane reklamy, wyskakujące okienka i linki na niewiarygodnych stronach i nigdy nie zezwalaj im na wysyłanie powiadomień. Jeśli Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie usunąć wszystkie zagrożenia.

Fałszywa strona (cleanmymacos[.]org) służyła do rozpowszechniania programu SHub Stealer (źródło: malwarebytes.com):

Instrukcje ClickFix wykorzystywane do rozpowszechniania programu SHub Stealer (źródło: malwarebytes.com):

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest „SHub”?
• Usuń pliki i foldery związane z SHub z systemu OS X.

Film pokazujący, jak usunąć oprogramowanie reklamowe i programy przejmujące kontrolę nad przeglądarką z komputera Mac:

Usuwanie potencjalnie niechcianych programów:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje”:

Kliknij ikonę Finder. W oknie Findera wybierz „Aplikacje”. W folderze aplikacji poszukaj „MPlayerX”, „NicePlayer” lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji, które powodują wyświetlanie reklam online, przeskanuj komputer Mac w poszukiwaniu pozostałych niechcianych elementów.

Najczęściej zadawane pytania (FAQ)

Mój komputer został zainfekowany złośliwym oprogramowaniem SHub. Czy powinienem sformatować dysk, aby się go pozbyć?

Ta czynność spowoduje usunięcie programu SHub, ale doprowadzi również do utraty wszystkich danych, dlatego należy ją stosować wyłącznie w ostateczności. Przed podjęciem tej decyzji najlepiej przeprowadzić pełne skanowanie za pomocą sprawdzonego oprogramowania zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może umożliwić atakującym zdalny dostęp, doprowadzić do kradzieży danych osobowych, zainstalować kolejne szkodliwe programy, usunąć lub zaszyfrować pliki, spowodować awarie systemu, spowolnić działanie urządzenia oraz przeprowadzić inne szkodliwe działania.

Jaki jest cel serwisu SHub?

SHub to złośliwe oprogramowanie, które wykradło hasła, portfele kryptowalutowe i inne poufne dane z systemu macOS. Atakuje przeglądarki, pęku kluczy, portfele kryptowalutowe na pulpicie i w przeglądarkach oraz pliki takie jak notatki z aplikacji Apple Notes czy sesje w aplikacji Telegram. Jego głównym celem jest pozyskiwanie informacji.

W jaki sposób SHub przedostał się do mojego urządzenia?

Atakujący wykorzystują fałszywą stronę internetową CleanMyMac, na której odwiedzający są proszeni o otwarcie Terminala i wklejenie polecenia w celu „zainstalowania” oprogramowania. Ta metoda dystrybucji znana jest pod nazwą ClickFix. Gdy użytkownik uruchomi to polecenie, w tle pobierany i uruchamiany jest ukryty skrypt, umożliwiający wirusowi SHub zainfekowanie komputera Mac.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner potrafi wykrywać i usuwać większość znanych szkodliwych programów. Jednak zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, dlatego ważne jest, aby przeprowadzić pełne skanowanie systemu.