Uusi SHub-infostealer-variantti huijaa macOS-käyttäjiä näyttämällä väärennettyjä Apple-tietoturvapäivityksiä AppleScript-hyökkäyksellä ja asentaa takaoven.
Tietoturvatutkijat ovat löytäneet uuden SHub-infostealerin variantin, joka käyttää AppleScriptiä huijatakseen macOS-käyttäjiä. Haittaohjelma näyttää uskottavan näköisen viestin väitetystä Apple-tietoturvapäivityksestä ja kehottaa käyttäjää antamaan järjestelmänvalvojan oikeudet asennukselle.
Kun käyttäjä syöttää salasanansa, haittaohjelma asentaa takaoven järjestelmään ja alkaa kerätä arkaluontoisia tietoja. SHub pystyy varastamaan tallennettuja salasanoja, selaimen evästeitä, kryptovaluuttatompakoiden tietoja ja muita henkilökohtaisia tiedostoja uhrin Mac-tietokoneesta.
Hyökkäys on erityisen vaarallinen, koska se käyttää hyväksi käyttäjien luottamusta Applen virallisiin tietoturvapäivityksiin. Väärennös on visuaalisesti vakuuttava ja käyttää samankaltaista kieltä kuin aidot Apple-viestit, mikä tekee siitä vaikean havaita tavalliselle käyttäjälle.
IT-ammattilaiset suosittelevat kouluttamaan käyttäjiä lataamaan tietoturvapäivitykset vain Applen virallisen Software Update -toiminnon kautta. Lisäksi organisaatioiden tulisi harkita endpoint detection and response (EDR) -ratkaisujen käyttöönottoa macOS-ympäristöissä havaitsemaan epäilyttävää AppleScript-toimintaa.
Tärkeimmät pointit
- SHub-infostealer käyttää AppleScriptiä väärennösten luomiseen
- Naamioituu uskottavaksi Apple-tietoturvapäivitykseksi
- Varastaa salasanoja, evästeitä ja kryptovaluuttatompakoiden tietoja
- Asentaa takaoven järjestelmänvalvojan oikeuksilla
- Hyödyntää käyttäjien luottamusta Applen virallisiin päivityksiin
- Vaikea havaita visuaalisen vakuuttavuuden vuoksi
Lähde: Bleeping Computer — alkuperäinen artikkeli julkaistu 18.5.2026
