Новый macOS-вымогатель SHub v2.0 крадёт данные 103 криптокошельков и внедряет бэкдоры в приложения

Активность новой версии вредоносной программы была зафиксирована 20 апреля 2026 года. Исследователи получили информацию от независимого специалиста по безопасности Йогеша Лондхе и в результате смогли идентифицировать активный командный сервер (C2, Command and Control) на домене terafolt[.]com. На этом сервере в открытом виде располагались как загрузчик, так и основная полезная нагрузка вредоносной программы, что позволило специалистам детально изучить её механику до возможного закрытия инфраструктуры. Важно отметить, что SHub Stealer как семейство уже было известно экспертам, однако обнаруженная версия содержит новые, ранее не документированные возможности и домен для управления.

Механизм заражения начинается с небольшого шелл-скрипта, который выполняет роль загрузчика. Этот скрипт, размером менее 600 байт, закодирован и сжат. После декодирования он первым делом проверяет раскладку клавиатуры системы. Если обнаруживается русская раскладка, выполнение скрипта немедленно прекращается. Эта техника географического исключения часто используется русскоязычными угрозчиками, чтобы избежать компрометации компьютеров в странах СНГ и, возможно, минимизировать внимание местных правоохранительных органов. Если проверка пройдена, загрузчик скачивает с того же сервера основную полезную нагрузку, написанную на AppleScript, и передаёт её интерпретатору macOS, что позволяет избежать сохранения файла на диск на втором этапе.

Основная часть вредоносной программы, payload.applescript, примечательна своим отсутствием обфускации - код открыт для чтения, что является редкостью для современных сборщиков данных. Внутри содержится вся логика работы, включая вшитые API-ключ и идентификатор сборки. Первым действием программа демонстрирует пользователю фишинговое окно, имитирующее диалог системных настроек macOS с запросом пароля учётной записи. Введённый пароль локально проверяется с помощью системной утилиты dscl, и при ошибке окно появляется снова - всего до 10 попыток. Это гарантирует, что злоумышленник получит рабочий пароль, необходимый для доступа к ключам шифрования и другим защищённым данным.

Имея валидные учётные данные, вредоносное ПО приступает к масштабному сбору информации. Его основная цель - криптовалютные активы. SHub v2.0 целенаправленно ищет данные 103 браузерных расширений для кошельков, включая такие популярные, как MetaMask, Phantom, Trust Wallet, Coinbase Wallet, Ledger и Trezor. Кроме того, он нацелен на 23 настольных приложения для управления криптовалютой, такие как Exodus, Atomic Wallet, Electrum, Bitcoin Core и официальные клиенты для Monero, Litecoin и Zcash. Для каждого из этих приложений происходит изъятие файлов кошельков и конфигурационных данных. Однако наиболее опасной возможностью является активное внедрение бэкдора. Для приложений Exodus, Atomic Wallet, Ledger Live и Trezor Suite вредоносная программа заменяет их основной файл app.asar - архив, содержащий логику Electron-приложений - на троянизированную версию. Это позволяет злоумышленнику внедрять постоянный код, который будет выполняться каждый раз при запуске кошелька, даже после удаления первоначального сборщика данных. По сути, это локальная компрометация цепочки поставок программного обеспечения, сохраняющаяся до полной переустановки приложения.

Помимо криптовалютных данных, сборщик крадёт широкий спектр системной и пользовательской информации. В поле его зрения попадают данные из связки ключей macOS (Keychain), учётные данные iCloud, история, cookies и пароли из Safari, локальная база данных приложения "Заметки", сессионные файлы Telegram, а также история командных оболочек bash и zsh. Все собранные данные упаковываются и отправляются на командный сервер по адресу https://terafolt[.]com/gate. Для поддержания постоянного доступа программа также отправляет "сердцебиения" (heartbeat) на эндпоинт /api/bot/heartbeat, что позволяет оператору удалённо управлять скомпрометированной системой и отдавать дополнительные команды. Анализ инфраструктуры показал, что домен terafolt[.]com был зарегистрирован 10 марта 2026 года через регистратора CNOBIN INFORMATION TECHNOLOGY LIMITED. Эксперты обнаружили, что этот же регистратор использовался для другого известного командного домена SHub Stealer - res2erch-sl0ut[.]com, что подтверждает связь между кампаниями.

Обнаружение SHub Stealer v2.0 служит тревожным напоминанием для пользователей macOS, особенно активно работающих с криптовалютой. Угроза сочетает в себе социальную инженерию, продвинутые техники кражи данных и методы обеспечения устойчивости в системе. Хотя географическое фильтрование может временно снижать риски для пользователей в определённых регионах, глобальная природа криптовалютного рынка делает эту угрозу актуальной для международного сообщества. Инцидент также подчёркивает важность проверки источников загружаемого ПО, использования аппаратных кошельков для хранения значительных сумм и повышенного внимания к любым нестандартным системным запросам, даже если они выглядят как легитимные окна операционной системы. Для специалистов по безопасности ключевыми индикаторами компрометации остаются сетевые подключения к указанным доменам и попытки доступа к файлам кошельков и браузерных расширений со стороны неожиданных процессов, таких как osascript.

Domains

• res2erch-sl0ut.com
• terafolt.com

URLs

• https://terafolt.com/api/bot/heartbeat
• https://terafolt.com/gate

SHA256

• 61cb9c3bd1a2faa7d6613dd8e5d09e79fe95e85ab09ed6bcd6406badff5a083f
• d91d844ad8920458ee99e707b1a203cba8df76ce960195f0993eb3b0e96d893f
• eb66a20468f701f2ec5f018a0fd9b8551aefa25124c6a04517b873da9ca724ff
• ffb79953b8d822a5433f08e1e3958a0c7e9e856749a6d90c83b9e4ef5813a03a