Нова версія macOS-крадія даних SHub почала видавати себе за офіційні оновлення безпеки Apple. Шкідник не лише викрадає браузерні дані та криптогаманці, а й встановлює бекдор для постійного доступу до системи.
Дослідники SentinelOne виявили нову версію macOS-інфостілера SHub, яка маскується під оновлення безпеки Apple та використовує AppleScript для зараження системи. Новий варіант під назвою Reaper не лише краде паролі й криптогаманці, а й встановлює бекдор для віддаленого доступу до пристрою.
На відміну від попередніх кампаній SHub, де жертв змушували вручну вставляти шкідливі команди в Terminal через схему ClickFix, тепер зловмисники перейшли на інший метод. Reaper використовує URL-схему applescript://, яка автоматично відкриває редактор скриптів macOS уже з підготовленим шкідливим AppleScript.
Цей підхід дозволяє обійти нові захисні механізми Apple, які компанія додала в macOS Tahoe 26.4 наприкінці березня для блокування підозрілих команд у Terminal.
За даними SentinelOne, користувачів заманювали на фальшиві сайти WeChat та Miro, які виглядали достатньо переконливо для менш досвідчених людей. Серед доменів, помічених у кампанії: qq-0732gwh22[.]com, mlcrosoft[.]co[.]com та mlroweb[.]com.
Деякі із цих сайтів досі працюють та поширюють заражені інсталятори. BleepingComputer також помітив цікаву деталь: кнопки завантаження для Windows та Android віддавали один і той самий виконуваний файл із Dropbox.
Перед зараженням сайти збирають телеметрію про пристрій жертви. Скрипти перевіряють, чи використовується VPN або віртуальна машина, а також шукають встановлені розширення браузера для криптогаманців і менеджерів паролів. Вся ця інформація передається оператору через Telegram-бота.
Шкідливий AppleScript формується динамічно та ховається всередині ASCII-зображення. Коли користувач натискає кнопку «Виконати», система показує фальшиве повідомлення про оновлення Apple XProtectRemediator. У цей момент malware завантажує shell-скрипт через curl та непомітно запускає його через zsh.
Перед активацією Reaper перевіряє, чи використовується російська клавіатура або російські налаштування введення. Якщо збіг знаходиться, шкідник надсилає подію «cis_blocked» на C2-сервер і завершує роботу без зараження системи.
Якщо перевірка проходить успішно, Reaper запускає основний модуль через osascript та починає збір даних. Спочатку користувача просять ввести пароль macOS, після чого malware отримує доступ до Keychain та захищених даних системи.
Після цього SHub починає викрадати:
дані браузерів Google Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc та Orion;
криптовалютні розширення MetaMask і Phantom;
менеджери паролів 1Password, Bitwarden та LastPass;
десктопні криптогаманці Exodus, Atomic Wallet, Ledger Live, Electrum і Trezor Suite;
дані iCloud;
Telegram-сесії;
конфігурації та файли розробників.
Окремий модуль Filegrabber переглядає папки «Документи» та «Робочий стіл» у пошуках файлів із фінансовою або конфіденційною інформацією. Шкідник збирає файли до 2 МБ, а для PNG-зображень ліміт збільшується до 6 МБ. Загальний обсяг викрадених даних обмежений 150 МБ.
Якщо Reaper знаходить криптогаманці, він може підмінити їхні файли. Для цього malware завершує процес програми та замінює її основний файл модифікованим app.asar, який завантажується із C2-сервера.
Щоб уникнути попереджень Gatekeeper, SHub очищає quarantine-атрибути через команду xattr -cr та використовує власне підписування коду для змінених застосунків.
Окрім крадіжки даних, Reaper створює LaunchAgent, який маскується під оновлення Google Software Update. Скрипт запускається щохвилини, надсилає системну інформацію на сервер керування та може отримувати додаткові payload-файли для виконання від імені поточного користувача.
У SentinelOne попереджають, що SHub поступово перетворюється з інфостілера на повноцінний інструмент віддаленого доступу. Це дозволяє операторам не лише красти дані, а й завантажувати додаткове шкідливе ПЗ на заражені Mac.
Дослідники рекомендують адміністраторам стежити за підозрілим мережевим трафіком після запуску Script Editor, появою нових LaunchAgent та файлами, які маскуються під сервіси довірених постачальників.
