So entfernen Sie SHub von infizierten macOS-Systemen

Was für eine Art von Malware ist SHub?

SHub ist ein Datendiebstahlprogramm, das auf macOS-Nutzer abzielt. Es kann Daten aus Webbrowsern, Kryptowährungs-Wallets und anderen Anwendungen abgreifen. Zur Verbreitung werden eine gefälschte Website und die ClickFix-Technik genutzt. Wird SHub auf einem Gerät entdeckt, sollte es so schnell wie möglich entfernt werden.

Übersicht über SHub Stealer

Zunächst wird auf dem Gerät des Opfers ein Loader ausgeführt. Dieser überprüft das System, bevor er fortfährt. Bei einer dieser Überprüfungen wird nach einer russischen Tastatur gesucht. Wird eine solche gefunden, bricht die Malware ab und meldet dies dem Angreifer. Ist die Überprüfung erfolgreich, sendet der Loader die IP-Adresse, den Hostnamen, die macOS-Version und die Tastatursprache an die Cyberkriminellen.

Zudem wird ein Skript heruntergeladen, das sich als normale Passwortabfrage von macOS tarnt. Gibt das Opfer sein Passwort ein, kann die Malware den Schlüsselbund entsperren, in dem alle gespeicherten Passwörter, WLAN-Anmeldedaten und privaten Schlüssel gespeichert sind.

Nachdem das Passwort gestohlen wurde, durchsucht SHub das infizierte macOS-System nach verschiedenen Daten. Es zielt auf über 10 Chromium-basierte Browser ab, darunter Arc, Brave, Chrome, Chrome Beta, Chrome Canary, Chrome DevTools, Chromium, Edge, Opera, Opera GX, Orion, Sidekick, Vivaldi und Coccoc. Außerdem zielt es auf Firefox ab und stiehlt gespeicherte Passwörter, Cookies und Daten für die automatische Ausfüllfunktion aus allen Profilen.

Darüber hinaus überprüft SHub alle installierten Browser-Erweiterungen. Es kann Informationen aus über hundert bekannten Kryptowährungs-Wallets stehlen, darunter Coinbase Wallet, Exodus Web3, Keplr, MetaMask, Phantom und Trust Wallet.

SHub richtet sich auch an Desktop-Apps für Krypto-Wallets. Es sammelt Daten von Wallets wie Atomic Wallet, Binance, Bitcoin Core, BlueWallet, Coinomi, Dogecoin Core, Electrum, Exodus, Guarda, Ledger Live, Ledger Wallet, Litecoin Core, Monero, Sparrow, TON Keeper, Trezor Suite, Wasabi und anderen.

Darüber hinaus erfasst der Stealer Daten aus dem Schlüsselbund, iCloud-Kontodaten, Safari-Cookies und den Browserverlauf, Apple Notes-Datenbanken sowie Telegram-Sitzungsdateien. Außerdem kopiert er die Dateien „.zsh_history“, „.bash_history“ und „.gitconfig“, die möglicherweise API-Schlüssel oder Authentifizierungstoken enthalten, die von Entwicklern verwendet werden.

Weitere Funktionen

SHub stiehlt nicht nur Daten, sondern verändert auch bestimmte Krypto-Wallet-Apps, um auch später weiterhin Informationen abgreifen zu können. Wenn es Wallets wie Atomic Wallet, Exodus, Ledger Live, Ledger Wallet oder Trezor Suite findet, ersetzt es die Schlüssel-App-Datei („app.asar“) durch eine schädliche Version. Diese Datei läuft im Hintergrund und sorgt dafür, dass die App weiterhin normal funktioniert.

Die manipulierten Apps senden dann sensible Daten an Angreifer, wie beispielsweise Wallet-Passwörter, Seed-Phrasen oder Wiederherstellungsphrasen. Einige Versionen können gefälschte Bildschirme für die Wiederherstellung oder Sicherheitsupdates anzeigen, um Nutzer dazu zu verleiten, ihre Seed-Phrasen einzugeben.

Zudem installiert SHub eine Hintertür, um sich den Zugriff auf das infizierte Gerät zu sichern. Es erstellt einen Hintergrundauftrag namens „com.google.keystone.agent.plist“, der wie Googles legitimer Update-Dienst aussieht. Bei jeder Ausführung startet es ein verstecktes Skript, das die eindeutige Hardware-ID des Macs an den Server sendet und auf Befehle prüft.

Dadurch können Angreifer das Gerät aus der Ferne steuern, bis die Hintertür entdeckt und entfernt wird. Um keinen Verdacht zu erregen, zeigt SHub eine gefälschte Fehlermeldung an, wonach die App nicht unterstützt wird, sodass das Opfer glaubt, die Installation sei fehlgeschlagen.

Fazit

SHub ist eine hochentwickelte MacOS-Malware, die Angreifern langfristigen, unbemerkten Zugriff auf den Mac des Opfers und auf wertvolle Informationen ermöglicht. Opfer solcher Angriffe können unter anderem mit Identitätsdiebstahl, Verlust von Kryptowährungen, Kontoübernahmen und anderen negativen Folgen konfrontiert werden. Daher ist es wichtig, vorsichtig zu sein, um eine Infektion zu vermeiden.

Weitere Beispiele für Malware, die auf macOS abzielt, sind Phexia, NovaStealer und MacSync.

Wie hat sich SHub auf mein Gerät eingeschleust?

Cyberkriminelle nutzen eine gefälschte CleanMyMac-Website, um Nutzer dazu zu verleiten, zu glauben, sie würden die echte App herunterladen. Anstatt ein normales Installationsprogramm herunterzuladen, fordert die Website die Besucher auf, das Terminal zu öffnen und im Rahmen der „Installation“ einen Befehl einzufügen. Die bei diesen Angriffen verwendete Verbreitungstechnik wird als „ClickFix“ bezeichnet.

Wenn der Benutzer den Befehl ausführt, wird ein verstecktes Skript heruntergeladen und ausgeführt, was zur Infiltration durch SHub führt.

Wie vermeidet man Malware?

Laden Sie Apps stets aus offiziellen Quellen oder vertrauenswürdigen App-Stores herunter und vermeiden Sie Raubkopien, Cracks oder inoffizielle Aktivierungsprogramme. Halten Sie Ihr Betriebssystem und Ihre Programme auf dem neuesten Stand und scannen Sie Ihr Gerät regelmäßig mit vertrauenswürdiger Sicherheitssoftware. Seien Sie vorsichtig bei unerwarteten E-Mails, Nachrichten oder Anhängen und öffnen Sie Dateien oder klicken Sie auf Links nur, wenn Sie sicher sind, dass diese unbedenklich sind.

Ignorieren Sie verdächtige Anzeigen, Pop-ups und Links auf unseriösen Websites und lassen Sie niemals zu, dass diese Benachrichtigungen senden. Sollte Ihr Computer bereits infiziert sein, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um alle Bedrohungen automatisch zu beseitigen.

Die gefälschte Website (cleanmymacos[.]org) diente zur Verbreitung des SHub-Stealers (Quelle: malwarebytes.com):

Anleitung von ClickFix zur Verbreitung des SHub-Stealers (Quelle: malwarebytes.com):

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist „SHub“?
• Entfernen Sie SHub-bezogene Dateien und Ordner aus OS X.

Video, das zeigt, wie man Adware und Browser-Hijacker von einem Mac-Computer entfernt:

Entfernung potenziell unerwünschter Anwendungen:

Entfernen Sie potenziell unerwünschte Anwendungen aus Ihrem Ordner „Anwendungen“:

Klicken Sie auf das Finder-Symbol. Wählen Sie im Finder-Fenster „Programme“ aus. Suchen Sie im Programmordner nach „MPlayerX“, „NicePlayer“ oder anderen verdächtigen Anwendungen und ziehen Sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschten Anwendungen entfernt haben, die Online-Werbung verursachen, scannen Sie Ihren Mac auf verbleibende unerwünschte Komponenten.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit der Malware SHub infiziert. Sollte ich mein Speichermedium formatieren, um sie loszuwerden?

Dieser Schritt entfernt SHub, löscht jedoch auch alle Daten; daher sollte er nur als letztes Mittel eingesetzt werden. Bevor Sie diese Maßnahme ergreifen, sollten Sie am besten einen vollständigen Scan mit einer zuverlässigen Sicherheitssoftware wie Combo Cleaner durchführen.

Was sind die größten Probleme, die durch Malware verursacht werden können?

Malware kann Angreifern Fernzugriff ermöglichen, persönliche Daten stehlen, weitere Schadprogramme installieren, Dateien löschen oder verschlüsseln, Systemabstürze verursachen, Ihr Gerät verlangsamen und andere schädliche Aktivitäten ausführen.

Was ist der Zweck von SHub?

SHub ist eine Malware, die Passwörter, Krypto-Wallets und andere sensible Daten von macOS stiehlt. Sie zielt auf Browser, den Schlüsselbund, Desktop- und browserbasierte Krypto-Wallets sowie Dateien wie Apple Notes oder Telegram-Sitzungen ab. Ihr Hauptziel ist es, Informationen zu sammeln.

Wie hat sich SHub auf mein Gerät eingeschleust?

Die Angreifer nutzen eine gefälschte CleanMyMac-Website, auf der Besucher dazu aufgefordert werden, das Terminal zu öffnen und einen Befehl einzufügen, um die Software zu „installieren“. Diese Verbreitungsmethode ist als ClickFix bekannt. Wenn der Nutzer den Befehl ausführt, wird im Hintergrund ein verstecktes Skript heruntergeladen und ausgeführt, wodurch SHub den Mac infizieren kann.

Schützt mich Combo Cleaner vor Malware?

Ja, Combo Cleaner kann die meisten bekannten Schadprogramme erkennen und entfernen. Da sich komplexe Schadprogramme jedoch oft tief im System verstecken, ist es wichtig, einen vollständigen Systemscan durchzuführen.