SHub Reaper: novo infostealer para macOS se disfarça de Apple, Microsoft e Google em ataque encadeado

Pesquisadores da SentinelOne identificaram uma nova variante do infostealer SHub para macOS, batizada de Reaper, que se disfarça simultaneamente de Apple, Microsoft e Google em uma única cadeia de ataque. O malware utiliza o esquema applescript:// para contornar mitigações do macOS Tahoe 26.4, rouba dados de browsers, gerenciadores de senhas e carteiras de criptomoedas, e mantém persistência via LaunchAgent disfarçado como Google Software Update.

O que aconteceu

A SentinelOne publicou nesta semana uma análise técnica detalhando o Reaper, mais recente variante da família SHub de infostealers voltados ao macOS. Diferentemente das versões anteriores, que dependiam principalmente de engenharia social tipo ClickFix — onde a vítima é induzida a colar comandos diretamente no Terminal —, o Reaper adota uma abordagem mais sofisticada que esquiva mitigações introduzidas pela Apple no Tahoe 26.4.

O ataque tem início em sites de instalação falsa que imitam o WeChat e o Miro, hospedados em domínios typo-squatted como mlcrosoft[.]co[.]com. Quando o usuário acessa essas páginas, JavaScript em background já começa a coletar telemetria do sistema: endereço IP, geolocalização, fingerprint WebGL e indicadores de máquinas virtuais, VPNs e ambientes de análise.

O que dá ao Reaper sua identidade própria é a forma como cada estágio da infecção troca de máscara. O payload pode estar hospedado em um domínio Microsoft typo-squatted, executar sob a aparência de uma atualização de segurança da Apple e persistir num diretório que se passa pelo Google Software Update — três marcas de confiança absoluta exploradas em sequência dentro do mesmo fluxo.

Como o ataque funciona

O elo central da cadeia é o abuso do esquema de URL applescript://. Em vez de pedir ao usuário que cole comandos no Terminal — fluxo já bloqueado em parte pelas mitigações recentes do macOS Tahoe —, o malware abre o macOS Script Editor com um payload AppleScript já carregado. O conteúdo do script é deliberadamente preenchido com ASCII art e texto que imita instalador legítimo, fazendo com que o comando malicioso fique empurrado para baixo da área visível da janela do Script Editor. O usuário, ao confirmar a execução, dispara involuntariamente o stealer.

O JavaScript pré-infecção enumera extensões de navegador procurando especificamente gerenciadores de senhas como 1Password, Bitwarden e LastPass, além de carteiras cripto. Quando o estágio nativo é executado, ele coleta dados de browser, arquivos de configuração de gerenciadores de senhas, conteúdo do Keychain do macOS, informações da conta iCloud e sessões do Telegram.

“O payload pode estar hospedado em um domínio Microsoft typo-squatted, ser executado sob o disfarce de uma atualização de segurança da Apple e persistir a partir de um falso diretório do Google Software Update.”

Pesquisadores da SentinelOne

O Reaper inclui também um módulo Filegrabber inspirado no Atomic macOS Stealer (AMOS), que varre as pastas Desktop e Documentos em busca de tipos de arquivo de valor comercial ou financeiro. A coleta é limitada a 150 MB; se o arquivo final exceder 85 MB, o malware fragmenta o conteúdo em pedaços de 70 MB antes de fazer upload para a infraestrutura controlada pelos atacantes — um truque para escapar de filtros de saída e melhorar a confiabilidade da exfiltração.

Após a exfiltração inicial, o malware tenta comprometer carteiras desktop de criptomoedas como Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite. Quando uma carteira-alvo é encontrada, o Reaper baixa um arquivo app.asar modificado de seu servidor C2, encerra o processo legítimo e substitui o binário original — efetivamente trocando a aplicação da carteira por uma versão maliciosa.

Persistência e impacto

A persistência é estabelecida com cuidado para passar despercebida em uma inspeção rápida. O malware cria a estrutura ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/, coloca ali um script bash decodificado a partir de Base64 chamado GoogleUpdate e registra um LaunchAgent com o nome com.google.keystone.agent.plist — todas escolhas calibradas para parecer um serviço legítimo do Google em listagens de processos.

• Usuários de macOS, especialmente desenvolvedores e profissionais cripto que mantêm gerenciadores de senhas e carteiras locais.
• Vítimas de campanhas de typosquatting envolvendo domínios que imitam Microsoft, Apple e Google.
• Ambientes corporativos com Macs sem EDR específico para a plataforma — onde o LaunchAgent disfarçado de GoogleUpdate dificilmente é flagged.
• Usuários que confiam em scripts AppleScript abertos pelo Script Editor sem revisar a totalidade do conteúdo.

Análise

O Reaper representa um passo evolutivo importante na maturidade dos infostealers para macOS. Por muito tempo, a plataforma da Apple foi considerada um alvo secundário em comparação ao Windows, e os stealers que existiam — Atomic, Cthulhu, Banshee — dependiam fortemente de ClickFix e de instaladores DMG não assinados. Com o Tahoe 26.4, a Apple endureceu várias dessas vias. A resposta do ecossistema criminal foi imediata: migrar para applescript:// e camuflar payloads dentro de ambientes nativos do próprio sistema.

A escolha de impersonar três das marcas mais reconhecidas globalmente em um único fluxo é deliberada: cada estágio aproveita um vetor de confiança diferente, dificultando que mecanismos de detecção baseados em reputação de domínio ou heurística por nome de processo consigam encadear o ataque. Sob um SOC distraído, cada componente parece legítimo isoladamente.

Outro ponto preocupante é a substituição funcional de aplicações de carteira como Exodus e Ledger Live via app.asar. Trata-se de um padrão visto também em campanhas Windows recentes — em vez de roubar seeds passivamente, o atacante reescreve a aplicação para que ela exfiltre dados em uso normal. Esse tipo de manipulação é especialmente difícil de detectar porque o software vítima continua “funcionando” do ponto de vista do usuário.

Recomendações práticas

• Bloquear ou alertar para o esquema de URL applescript:// em endpoints corporativos macOS via configurações MDM.
• Inventariar LaunchAgents em ~/Library/LaunchAgents/ e auditar entradas que imitem GoogleUpdate, Keystone ou outros serviços conhecidos.
• Monitorar a integridade dos binários app.asar de Exodus, Atomic Wallet, Ledger Live e Trezor Suite — verificações de hash periódicas são suficientes para detectar substituição.
• Implantar EDR específico para macOS com detecção de processos persistentes que façam heartbeat a cada 60 segundos para endpoints externos.
• Treinar usuários a desconfiar de instaladores que abrem o Script Editor — qualquer fluxo legítimo de instalação de software no macOS usa o Installer, não AppleScript.
• Adicionar filtros de DNS contra typo-squatting em domínios mlcrosoft, app1e, g00gle e variações similares.
• Para usuários de cripto: preferir carteiras hardware e nunca aprovar transações sem revisar o endereço diretamente no dispositivo físico.

Fonte: Help Net Security