Uma nova variante do infostealer SHub para macOS usa AppleScript para exibir uma falsa mensagem de atualização de segurança e instalar um backdoor.
Batizada de Reaper, a nova versão rouba dados sensíveis de navegadores, coleta documentos e arquivos que podem conter informações financeiras e sequestra aplicativos de carteiras de criptomoedas.
Diferentemente de campanhas anteriores do SHub, que recorriam à técnica “ClickFix” para induzir usuários a colar e executar comandos no Terminal, o Reaper utiliza o esquema de URL applescript:// para abrir o Editor de Script do macOS já carregado com um AppleScript malicioso.
Essa abordagem contorna as medidas de mitigação baseadas no Terminal que a Apple introduziu no fim de março com o macOS Tahoe 26.4, que bloquearam a colagem e a execução de comandos potencialmente nocivos.
Pesquisadores da SentinelOne identificaram a nova variante do infostealer SHub e constataram que as vítimas eram atraídas por instaladores falsos do WeChat e do Miro hospedados em domínios criados para parecer legítimos a usuários menos experientes, como qq-0732gwh22[.]com, mlcrosoft[.]co[.]com e mlroweb[.]com.
No momento, os falsos domínios da QQ e da Microsoft ainda distribuem instaladores fraudulentos do WeChat, enquanto o site que imita a plataforma de colaboração visual Miro redireciona para o endereço legítimo.
O BleepingComputer observou que os botões de download para Windows e Android entregam o mesmo executável hospedado em uma conta do Dropbox.
Antes de invocar o AppleScript, os sites maliciosos fazem o fingerprint do dispositivo da vítima para verificar o uso de máquinas virtuais e VPNs, o que pode indicar um ambiente de análise, e enumeram extensões de navegador instaladas relacionadas a gerenciadores de senha e carteiras de criptomoedas.
Todos os dados de telemetria são enviados ao atacante por meio de um bot no Telegram.
O relatório da SentinelOne, divulgado nesta terça-feira, informa que o script com o comando que obtém o payload é montado dinamicamente e fica oculto sob arte ASCII.
Quando a vítima clica em “Run”, o script exibe uma falsa mensagem de atualização de segurança da Apple, com referência ao XProtectRemediator, baixa um shell script usando curl e o executa silenciosamente por meio do zsh.
Antes de acionar a lógica de roubo de dados, o malware faz uma checagem no sistema para verificar se a vítima usa teclado ou entrada em russo.
Se houver correspondência, ele informa um evento “cis_blocked” ao servidor de comando e controle, C2, e encerra a execução sem infectar o sistema.
Se o host não for russo, o Reaper recupera e executa o AppleScript malicioso com a rotina de roubo de dados usando a ferramenta de linha de comando osascript, integrada ao macOS.
Ao ser iniciado, ele solicita a senha do usuário no macOS, que pode então ser usada para acessar itens do Keychain, descriptografar credenciais e obter acesso a dados protegidos.
Em seguida, o infostealer mira os seguintes itens:
Dados de navegadores do Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc e Orion
Extensões de navegador de carteiras de criptomoedas, incluindo MetaMask e Phantom
Extensões de navegador de gerenciadores de senha, incluindo 1Password, Bitwarden e LastPass
Aplicativos de carteiras de criptomoedas para desktop, incluindo Exodus, Atomic Wallet, Ledger Live, Electrum e Trezor Suite
Dados de conta do iCloud
Dados de sessão do Telegram
Arquivos de configuração relacionados a desenvolvimento
O Reaper também inclui um módulo “Filegrabber” que procura nas pastas Desktop e Documents tipos de arquivo com potencial para conter informações sensíveis.
Ele coleta arquivos selecionados com menos de 2 MB, ou até 6 MB no caso de imagens PNG, com limite total de 150 MB.
Quando aplicativos de carteira estão presentes, ele os sequestra encerrando seus processos e substituindo o arquivo principal legítimo por um arquivo malicioso chamado app.asar, baixado do servidor de comando e controle, C2.
Para evitar alertas do Gatekeeper, os pesquisadores explicam que o malware SHub Reaper remove os atributos de quarentena com xattr -cr e usa assinatura de código ad hoc no pacote do aplicativo modificado.
A SentinelOne alerta que o malware estabelece persistência ao instalar um script que se faz passar pelo atualizador de software do Google e o registra por meio de LaunchAgent.
O script é executado a cada minuto e atua como um beacon, enviando informações do sistema ao C2.
Se o script receber um payload, ele pode decodificá-lo e executá-lo no contexto do usuário atual e, em seguida, excluir o arquivo, dando ao atacante acesso prolongado à máquina.
A SentinelOne destaca que o operador do SHub está ampliando as capacidades do infostealer para incluir acesso remoto a dispositivos comprometidos, o que pode permitir a obtenção de malware adicional.
Os pesquisadores forneceram um conjunto de indicadores de comprometimento que podem ajudar equipes de defesa a se proteger contra o comportamento malicioso associado à nova variante do infostealer SHub Reaper.
A SentinelOne recomenda monitorar tráfego de saída suspeito após a execução do Script Editor, bem como novos LaunchAgents e arquivos relacionados em namespaces de fornecedores confiáveis.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...