Новая версия вредоносной программы SHub Reaper для macOS маскируется под обновления Apple и Google

Reaper распространяется через поддельные установщики популярных приложений - мессенджера WeChat и сервиса для онлайн-совещаний Miro. Однако главная особенность новой версии - многоступенчатая цепочка заражения, на каждом этапе использующая разные маскировки. Вредоносная полезная нагрузка может размещаться на сайте-подделке, копирующем домен Microsoft (mlcrosoft[.]co[.]com), запускаться под видом обновления безопасности Apple, а закрепляться в системе из каталога, имитирующего Google Software Update.

Исследователи отмечают, что Reaper умеет обходить недавнюю защитную меру Apple Tahoe 26.4. Для этого программа использует специальный URL-схему applescript://, которая запускает встроенное приложение Script Editor с уже загруженным вредоносным скриптом. Код при этом динамически формируется на HTML-странице и дополняется большим количеством "мусора" - символами ASCII-арта и фиктивными строками. Благодаря этому настоящая команда оказывается далеко за пределами видимой области окна. Если жертва нажимает кнопку "Run", скрипт выводит поддельное сообщение об установке обновления XProtectRemediator от Apple, а в фоновом режиме запускает скрытую команду для загрузки следующей стадии.

Перед тем как начать кражу данных, вредоносная программа проверяет региональные настройки системы. Она считывает файл com.apple.HIToolbox.plist, чтобы определить, присутствуют ли русскоязычные источники ввода. Если пользователь находится в странах СНГ, работа прекращается, а на сервер управления отправляется сигнал о блокировке. Таким образом злоумышленники стараются избежать внимания правоохранительных органов из постсоветских стран.

Поддельные сайты-приманки не просто отображают страницу загрузки. Они собирают детальную информацию о посетителе: IP-адрес, географическое положение, данные WebGL-идентификации, признаки использования виртуальных машин или VPN. Специальные скрипты проверяют, какие расширения браузера установлены - особенно интересуют менеджеры паролей (1Password, Bitwarden, LastPass) и криптовалютные кошельки (MetaMask, Phantom). Собранные сведения отправляются операторам через бота в Telegram.

Кроме того, страницы активно препятствуют анализу. Они переопределяют консольные функции, блокируют нажатие клавиши F12 и запускают бесконечный цикл отладчика, который останавливает выполнение кода каждый раз, когда исследователь открывает инструменты разработчика. Если же обойти эти меры, JavaScript подменяет содержимое страницы на сообщение "Доступ запрещен" на русском языке.

Если пользователь нажимает "Run" в Script Editor, удаленный скрипт запрашивает пароль от учетной записи macOS под предлогом выполнения обновления. Введенный пароль перехватывается и используется для расшифровки связки ключей (macOS Keychain) и других защищенных данных. После этого появляется ложное сообщение об ошибке, чтобы усыпить бдительность жертвы.

Reaper продолжает традиции предыдущих версий SHub: он собирает данные из браузеров Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc и Orion, а также информацию из криптокошельков Exodus, Atomic, Ledger Live, Electrum и Trezor Suite. Но главное новшество - модуль кражи документов, аналогичный тому, что используется в известном инфостилере Atomic macOS Stealer (AMOS). Этот модуль просматривает папки "Рабочий стол" и "Документы" в поисках файлов с расширениями, представляющими коммерческую или финансовую ценность: .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json, .rdp (размером до 2 мегабайт), а также изображения .png (до 6 мегабайт). Общий лимит на сбор - 150 мегабайт.

Все файлы временно сохраняются в каталоге /tmp/shub_<случайное_число>/. Если объем превышает 85 мегабайт, создается скрипт, который разбивает архив на ZIP-файлы по 70 мегабайт и загружает их на сервер управления. После загрузки данных вредоносная программа пытается заменить внутренние файлы криптокошельков Exodus, Atomic, Ledger и Trezor Suite, чтобы перехватывать будущие транзакции. Для обхода защиты Gatekeeper скрипт снимает атрибуты карантина с помощью команды xattr -cr и применяет произвольную цифровую подпись.

Но самое важное отличие Reaper от многих других инфостилеров для macOS - возможность закрепляться в системе и устанавливать бэкдор (скрытый удаленный доступ). Перед завершением работы вредоносная программа создает каталог ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ и помещает туда скрипт с именем GoogleUpdate. Затем она регистрирует его как автозагрузку через механизм LaunchAgent - файл plist с именем com.google.keystone.agent.plist. Теперь каждые 60 секунд этот скрипт отправляет на сервер управления сигнал "сердцебиение" с информацией о системе. Если сервер возвращает ответ с полем "code", скрипт декодирует его, записывает во временный файл, выполняет и удаляет. Таким образом злоумышленники могут в любой момент запустить на зараженном устройстве произвольные команды.

По оценкам экспертов, развитие SHub в сторону создания полноценных бэкдоров свидетельствует о том, что операторы этой вредоносной программы не ограничиваются разовой кражей данных. Они стремятся получить долгосрочный контроль над системой для последующего использования в более сложных атаках. Пользователям macOS стоит обратить внимание на многослойные маскировки: поддельный установщик WeChat или Miro, адрес сайта, похожий на microsoft.com, выполнение под видом обновления Apple и скрытая работа из папки, имитирующей Google Software Update. Для защиты рекомендуется следить за подозрительной активностью Script Editor и osascript, неожиданными исходящими соединениями после запуска этих приложений, а также проверять появление новых LaunchAgent в домашнем каталоге.

Domains

• hebsbsbzjsjshduxbs.xyz
• mlcrosoft.co.com
• mlroweb.com
• qq-0732gwh22.com

URLs

• https://hebsbsbzjsjshduxbs.xyz/api/bot/heartbeat
• https://hebsbsbzjsjshduxbs.xyz/api/debug/event
• https://hebsbsbzjsjshduxbs.xyz/gate