Новая версия macOS-вымогателя SHub обходит геоблокировку и использует поддельные инструкции по установке Homebrew

Атака начинается с классического, но оттого не менее опасного метода, известного как ClickFix. Пользователь, чаще всего разработчик или системный администратор, вводит в поисковик запрос "install brew on mac". В результатах поиска он видит спонсируемую рекламу, которая ведёт не на официальный сайт пакетного менеджера Homebrew, а на фишинговый ресурс, замаскированный под руководство по установке. Этот сайт, размещённый на домене supernotes[.]app, содержит детальные, но поддельные инструкции, внушающие доверие. Ключевым элементом является команда для копирования и вставки в терминал, которая, как утверждается, запускает процесс установки. На самом деле она выполняет скрытую загрузку вредоносного скрипта с удалённого сервера.

Первая стадия заражения представляет собой сложный загрузчик, чей код упакован с использованием GunZip и кодирования base64. Этот скрипт выполняет несколько критически важных функций. Во-первых, он реализует так называемый "предохранитель" для стран СНГ, проверяя, активна ли в системе русская раскладка клавиатуры. При её обнаружении скрипт отправляет на командный сервер сигнал о блокировке и завершает работу, что указывает на целенаправленный характер атаки на аудиторию за пределами определённого географического региона. Во-вторых, загрузчик собирает подробную информацию о системе: раскладки клавиатуры, имя компьютера, версию операционной системы и внешний IP-адрес, используя для этого публичные сервисы вроде ipify. Все эти данные в формате JSON отправляются на управляющий сервер, после чего начинается загрузка основной полезной нагрузки - скрипта AppleScript, который и является самим SHub Stealer.

Основной модуль вредоносной программы отличается широким функционалом и агрессивным поведением. Сразу после запуска он убивает процесс Терминала, чтобы скрыть окно, в котором была выполнена начальная команда, и демонстрирует пользователю сообщение об ошибке установки, создавая видимость сбоя. Тем временем на заднем плане происходит масштабная кража конфиденциальных данных. Вредонос использует фишинговое окно, имитирующее системный запрос пароля администратора macOS. Получив доступ, программа обращается к системной связке ключей Keychain для извлечения паролей, сохранённых в браузерах.

Целями становятся все популярные браузеры, включая Chromium-движковые (Chrome, Brave, Edge, Arc, Opera) и Firefox. SHub извлекает файлы cookies, базы данных логинов и паролей, историю посещений и данные автозаполнения форм. Особое внимание уделяется криптовалютным кошелькам. Вредонос сканирует папки расширений браузеров на наличие известных идентификаторов плагинов для управления криптовалютами, а также ищет на диске установленные десктопные приложения, такие как Exodus, Electrum, Atomic, Guarda и даже клиенты Bitcoin Core и Monero. Также крадутся данные сессий Telegram, конфигурационные файлы Git и история команд из оболочки.

Для обеспечения долговременного присутствия в системе вредонос создаёт поддельный LaunchAgent с именем com.google.update.plist, маскируясь под процесс обновления от Google. Этот агент автоматически запускает вредоносный скрипт при каждой загрузке системы, обеспечивая постоянный доступ злоумышленников. Собранные данные упаковываются в архив и отправляются на один из множества командных серверов. Эксперты компании, проводившие расследование, обнаружили целую сеть из 39 таких доменов, причём большинство из них было зарегистрировано в течение последних 30 дней, что свидетельствует о быстрой смене инфраструктуры для ухода от обнаружения.

Важным аспектом этого инцидента является метод его обнаружения. Угроза была выявлена в ходе проактивной охоты за угрозами, а не благодаря сигнатурам или репутационным базам. Специалисты анализировали исходящие сетевые соединения от легитимных системных утилит к недавно зарегистрированным доменам - техника, известная как Living off the Land. Большинство выявленных командных доменов на момент обнаружения не имели плохой репутации и не блокировались традиционными системами безопасности. Этот случай наглядно демонстрирует ограниченность реактивных подходов к защите и подчёркивает необходимость внедрения продвинутых методов анализа поведения и телеметрии. Для защиты от подобных атак пользователям macOS следует проявлять крайнюю осторожность при копировании команд из непроверенных источников, особенно из спонсируемой рекламы, и всегда проверять адреса сайтов, с которых загружаются дистрибутивы популярного ПО.

Domains

• avafex.com
• beltoxer.com
• benefasts-fhgs2.com
• bigbossbro777.com
• bintail.com
• bulletproofdomai2n.com
• coco2-hram.com
• datasphere.us.com
• fastfilenext.com
• hello-brothers777.com
• hilofet.com
• macdev.slab.com
• malkim.com
• mentaorb.com
• metramon.com
• miappl.com
• miklutaur.com
• mikulatur.com
• milbiorb.com
• nibelined.com
• nibelineed.com
• obniltail.com
• octopixeldate.com
• pilautfile.com
• quantumdataserver5.homes
• rapidfilevault4.cyou
• rapidfilevault4.sbs
• rapidfilevault5.sbs
• reews09weernsus.com
• reews09weersus.com
• res2erch-sl0ut.com
• res2erch-sl2ut.com
• res2erzch-sl2ut.com
• rhymbil.com
• seagalnssteavens.com
• terafolt.com
• tri2s-sh7es.com
• us41web.live
• we2luck.com
• wewannaliveinpice.com

URLs

• https://datasphere.us.com/api/debug/event
• https://datasphere.us.com/debug/loader.sh
• https://datasphere.us.com/debug/payload.applescript
• https://datasphere.us.com/gate
• https://macdev.slab.com/public/posts/insta-ii-with-termina-i-g40n4aau?shr=6etwxr0gksp2ltctcqv7gom7#ho6l6-next-step

SHA256

• b9e128e9f5f5cc9af38c981718b796d94245e3898619ecfe20bfe234c6abd60c
• f02758a235a220f2fa125bb6f45a49e674fd8b91f320a382e8b7017d93afbc74