Исследователи в области безопасности сообщают, что новое шпионское ПО для MacOS под названием SHub Reaper маскируется под программное обеспечение Apple для защиты, чтобы похищать пароли, данные криптовалютных кошельков и конфиденциальные файлы.
Вредоносная программа использует AppleScript и легитимные системные процессы macOS, чтобы скрыть свою деятельность и обойти некоторые традиционные средства сканирования на наличие вредоносных программ.
Компания SentinelOne сообщила, что Reaper представляет собой более продвинутую версию семейства вредоносных программ SHub Stealer, которое в течение последних двух лет использовалось в преступных кампаниях, нацеленных на пользователей macOS. Ранее варианты SHub полагались на поддельные установщики и приемы социальной инженерии типа «ClickFix», которые подталкивали жертв к вставке вредоносных команд в Терминал.
Reaper расширяет эти тактики, злоупотребляя доверенными инструментами macOS и знакомыми брендами, чтобы придать вредоносному ПО вид легитимного. Теперь злоумышленники переносят этот процесс в Script Editor через URL-схему `applescript://`.
Этот переход помогает обойти некоторые средства защиты, добавленные Apple в macOS Tahoe 26.4 для цепочек атак, основанных на Терминале. На разных этапах цепочки заражения используются разные маскировки, чтобы вредоносное ПО выглядело легитимным.
Жертвы могут загрузить поддельные установщики WeChat или Miro с доменов, стилизованных под инфраструктуру Microsoft. На более поздних этапах появляются поддельные обновления безопасности Apple, а файлы, обеспечивающие постоянное присутствие вредоноса, скрываются в каталогах, имитирующих компоненты Google Software Update.
SHub Reaper злоупотребляет доверенными инструментами macOS вместо очевидных бинарных файлов вредоноса
Атака начинается с вредоносных веб-сайтов, которые собирают отпечатки посетителей перед доставкой вредоносных нагрузок. Веб-страницы собирают системную информацию, данные WebGL, индикаторы VPN, расширения браузера, а также признаки наличия виртуальных машин или инструментов для исследований в области безопасности.
Скрипты ищут менеджеры паролей, включая 1Password, Bitwarden и LastPass, а также расширения криптовалютных кошельков, такие как MetaMask и Phantom. Сайты также используют средства защиты от анализа, которые мешают работе инструментов разработчика браузера, перехватывают сочетания клавиш, такие как F12, и запускают циклы отладчика, которые повторно приостанавливают выполнение.
Некоторые страницы заменяют свой контент сообщением «Доступ запрещен» на русском языке после обнаружения попыток анализа.
После того как жертва нажимает «Запустить» в редакторе скриптов, вредоносное ПО отображает обновление безопасности Apple XProtectRemediator, одновременно выполняя скрытые команды в фоновом режиме. Злоумышленники наполнили вредоносный AppleScript поддельным текстом установщика и ASCII-изображениями, чтобы сдвинуть опасные команды ниже видимого окна.
Вредоносное поведение скрывается за тем, что выглядит как обычный процесс безопасности Apple. На более поздних этапах пользователей просят ввести пароль macOS, и эти учетные данные перехватываются во время выполнения. Затем жертвы видят поддельную ошибку совместимости, предназначенную для снижения подозрений после кражи.
В цепочке атак центральную роль играют легитимные системные процессы macOS, а не очевидные вредоносные приложения. Злоумышленники предпочитают выполнение AppleScript и скриптов оболочки, поскольку они маскируются под нормальную системную активность и обходят традиционные средства защиты с сканированием файлов, такие как фреймворк Apple XProtect.
Reaper выходит за рамки кражи учетных данных и переходит к постоянному компрометации macOS
Кража учетных данных и криптовалютных кошельков остается центральной частью поведения вредоносного ПО. В число целей входят Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion, а также приложения-кошельки, включая Exodus, Atomic Wallet, Ledger Live, Electrum и Trezor Suite.
Дополнительные цели кражи включают данные Keychain macOS, информацию о сеансах Telegram, расширения браузера и файлы, связанные с разработчиками.
В новой сборке добавлена процедура кражи документов в стиле AmOs. Папки «Рабочий стол» и «Документы» просматриваются на наличие деловых и финансовых файлов, включая документы Word, таблицы, файлы JSON, файлы кошельков и конфигурации удаленного рабочего стола.
Файлы, превышающие определенные пороги размера, пропускаются, включая изображения PNG размером более 6 МБ. Общий объем сбора ограничен 150 МБ, после чего вредоносное ПО сжимает и загружает украденные данные частями в свою инфраструктуру управления и контроля.
После сбора данных вредоносное ПО пытается напрямую взломать приложения криптовалютных кошельков. Активные процессы кошельков завершаются, после чего внутренние ресурсы приложений заменяются файлами «app.asar», контролируемыми злоумышленниками.
На более поздних этапах у пользователей запрашивается пароль macOS, и эти учетные данные перехватываются во время выполнения.
Затем атрибуты карантина удаляются, а специальная подпись кода помогает модифицированным приложениям продолжать работу в системах macOS.
Устойчивость — одно из самых значительных изменений в сборке Reaper. Вредоносное ПО устанавливает LaunchAgent, замаскированный под инфраструктуру программного обеспечения Google, в папку «Библиотека» пользователя.
Злоумышленники создают поддельную структуру «GoogleUpdate.app» и регистрируют `com.google.keystone.agent.plist` LaunchAgent, который запускается каждые 60 секунд. Поддельный LaunchAgent очень похож на легитимную службу обновлений Keystone от Google, что затрудняет обнаружение механизма устойчивости при беглом осмотре.
Затем удаленные серверы передают дополнительные команды, выполняют возвращаемые полезные нагрузки с привилегиями текущего пользователя и удаляют временные файлы после этого.
Устойчивость выводит вредоносное ПО за рамки простого кражи учетных данных. Ранее программы-инфостэлеры для macOS часто собирали данные и исчезали, но Reaper сохраняет плацдарм, который может поддерживать будущие полезные нагрузки или Удаленный доступ.
Нативные инструменты, поддельные запросы на обновление и доверенные Бренды Apple, Microsoft и Google теперь играют более важную роль в кампаниях по распространению вредоносного ПО для macOS. Reaper чередует эти бренды, чтобы вредоносная активность казалась многим пользователям обычным явлением.
Как пользователям Mac обеспечить свою безопасность
Пользователи могут снизить риск заражения в рамках этой кампании, избегая скриптов или установщиков с ненадежных веб-сайтов, особенно со страниц, на которых утверждается, что требуется ручное обновление безопасности. Apple обычно не просит пользователей открывать Script Editor и нажимать «Run» для установки обновлений.
SentinelOne сообщила, что в кампании использовались домены с опечатками, созданные так, чтобы напоминать инфраструктуру Microsoft. Внимательная проверка URL-адресов перед загрузкой программного обеспечения может помочь пользователям избежать поддельных сайтов с установщиками.
Пользователям Mac следует загружать программное обеспечение с официальных сайтов разработчиков или из Mac App Store, а не со страниц с установщиками, ссылки на которые распространяются через рекламу, посты в социальных сетях или нежелательные сообщения. Неожиданные запросы пароля во время установки, особенно в сочетании с неясными сообщениями об ошибках или утверждениями о сбое обновления, должны вызвать подозрение.
Опытные пользователи и администраторы могут отслеживать необычную активность AppleScript или «osascript», неожиданные LaunchAgents и сетевой трафик, связанный с Script Editor. SentinelOne также рекомендует следить за подозрительным выполнением AppleScript, а также за поддельными каталогами доверенных поставщиков и LaunchAgents, используемыми для обеспечения устойчивости.