SHub Reaper macOS infostealer
A SentinelOne kutatása a SHub Reaper macOS infostealert ismerteti, ami jelentős evolúciós ugrást mutat a korábbi SHub malware-változatokhoz képest. A támadási lánc egyszerre használ Apple-, Google- és Microsoft-brandinget a felhasználók megtévesztésére, miközben fejlett pszichológiai megtévesztési és azonosítás elleni technikákkal próbálja megkerülni az Apple legújabb védelmi mechanizmusait.
A fertőzés tipikusan hamis WeChat- vagy Miro-letöltőoldalakkal indul, amelyeket typo-squatted domaineken – például a mlcrosoft[.]co[.]com címen – hosztolnak. A weboldalak még a payload átadása előtt részletesen profilozzák az áldozat rendszerét, IP-címeket, WebGL-adatokat, VPN-használatot, böngészőbővítményeket és telepített password managereket keresnek, köztük a 1Password, Bitwarden és LastPass megoldásokat, valamint kriptotárca-bővítményeket is.
A malware már nem a klasszikus ClickFix Terminal-trükköt használja, hanem az applescript:// URL-sémán keresztül indítja el a macOS Script Editor alkalmazást. A támadók a rosszindulatú AppleScriptet ASCII-arttal és hamis telepítési szövegekkel töltik fel, hogy a valódi kártékony parancs ne látszódjon a felhasználó számára. Amikor az áldozat a Run gombra kattint, egy hamis Apple XProtectRemediator frissítési üzenet jelenik meg, miközben a háttérben Base64-kódolt curl parancsok töltik le és futtatják a malware komponenseit. A technika képes megkerülni az Apple Tahoe 26.4 verzióban bevezetett Terminal-alapú mitigációk egy részét.
A SHub Reaper célja elsősorban hitelesítő adatok, böngészős session tokenek, Apple Keychain adatok, kriptotárcák és érzékeny dokumentumok ellopása. Emellett tartós hozzáférést is kialakít egy hamis Google Software Update könyvtárba rejtett háttérfolyamattal. A SentinelOne szerint az új változat már AMOS-szerű dokumentumlopó modult is tartalmaz, amely darabolt adatfeltöltést használ az exfiltráció során.
