SHub Reaper na macOS: infostealer podszywa się pod aktualizacje zabezpieczeń Apple

Wprowadzenie do problemu / definicja

SHub Reaper to nowy wariant złośliwego oprogramowania typu infostealer wymierzonego w użytkowników systemu macOS. Jego głównym celem jest kradzież danych uwierzytelniających, informacji zapisanych w przeglądarkach, danych z portfeli kryptowalutowych, sesji komunikatorów oraz plików mogących zawierać poufne informacje biznesowe lub finansowe.

Na tle wielu wcześniejszych kampanii zagrożenie wyróżnia się tym, że wykorzystuje natywne komponenty systemu Apple i podszywa się pod komunikat dotyczący aktualizacji zabezpieczeń. Dzięki temu atak wygląda wiarygodnie i może łatwiej skłonić ofiarę do wykonania działań prowadzących do infekcji.

W skrócie

• Badacze zidentyfikowali nowy wariant rodziny SHub nazwany Reaper.
• Atak wymierzony jest w macOS i wykorzystuje fałszywe instalatory popularnych aplikacji.
• Zamiast klasycznego nakłaniania ofiary do użycia Terminala malware uruchamia AppleScript przez Edytor skryptów.
• Infekcji towarzyszy fałszywy komunikat o aktualizacji zabezpieczeń Apple.
• Złośliwe oprogramowanie kradnie hasła, dane z przeglądarek, sesje komunikatorów, pliki oraz informacje z portfeli kryptowalutowych.
• Wariant może także uzyskać trwałość w systemie i posłużyć do dalszej kompromitacji stacji roboczej.

Kontekst / historia

Poprzednie kampanie związane z rodziną SHub często opierały się na socjotechnice typu ClickFix. W takim modelu użytkownik był przekonywany do skopiowania i uruchomienia komend w Terminalu, co uruchamiało kolejne etapy infekcji.

Nowy wariant pokazuje jednak zmianę taktyki operatorów. Po zaostrzeniu mechanizmów ochronnych w nowszych wersjach macOS napastnicy przesunęli ciężar ataku z Terminala na AppleScript oraz Edytor skryptów. To ewolucja, która pozwala nadal wykorzystywać zaufanie użytkownika do natywnych narzędzi systemowych.

W opisywanej kampanii ofiary były wabione fałszywymi instalatorami aplikacji rozpoznawalnych marek, takich jak WeChat czy Miro. Strony dystrybucyjne i domeny imitowały legalne serwisy, aby zwiększyć szansę na pobranie i uruchomienie spreparowanego pakietu.

Analiza techniczna

Łańcuch ataku rozpoczyna się od spreparowanej strony internetowej, która analizuje środowisko ofiary przed dostarczeniem właściwego ładunku. Mechanizmy fingerprintingu sprawdzają między innymi, czy system działa w maszynie wirtualnej, czy używany jest VPN oraz jakie rozszerzenia przeglądarki są zainstalowane. Szczególne zainteresowanie wzbudzają dodatki związane z menedżerami haseł i portfelami kryptowalutowymi.

Następnie wykorzystywany jest schemat applescript://, który otwiera Edytor skryptów z przygotowanym kodem AppleScript. Złośliwy skrypt jest generowany i ukrywany w sposób utrudniający analizę. Po uruchomieniu przez użytkownika wyświetlany jest fałszywy komunikat sugerujący konieczność wykonania aktualizacji zabezpieczeń Apple.

W dalszym etapie skrypt pobiera dodatkowe komponenty z użyciem narzędzia curl i uruchamia je przez zsh. Malware sprawdza także ustawienia klawiatury i źródła wejścia, aby wykluczać określone środowiska, w tym konfiguracje rosyjskojęzyczne. Jeśli system spełnia kryteria operatora, uruchamiany jest kolejny etap z użyciem osascript.

Po aktywacji Reaper może wyświetlić prośbę o podanie hasła użytkownika macOS. Taka informacja znacząco zwiększa możliwości atakującego, ponieważ otwiera drogę do dostępu do danych przechowywanych w pęku kluczy i innych zasobów chronionych przez system.

Zakres zbieranych danych obejmuje:

• historię przeglądania, zapisane hasła i sesje z przeglądarek,
• rozszerzenia portfeli kryptowalutowych,
• rozszerzenia menedżerów haseł,
• desktopowe aplikacje portfeli kryptowalutowych,
• dane związane z kontem iCloud,
• sesje Telegrama,
• pliki i konfiguracje o znaczeniu deweloperskim.

Wariant zawiera również moduł typu Filegrabber, który przeszukuje katalogi Biurko i Dokumenty w poszukiwaniu plików o wysokiej wartości operacyjnej. Selekcja opiera się na typie i rozmiarze plików, co sugeruje próbę ograniczenia wolumenu eksfiltracji przy zachowaniu maksymalnej użyteczności skradzionych danych.

Szczególnie niebezpieczny jest moduł ukierunkowany na aplikacje portfeli kryptowalutowych. Po wykryciu takiego oprogramowania malware może zakończyć jego działanie i podmienić kluczowy plik aplikacji na złośliwy komponent pobrany z infrastruktury dowodzenia. Aby zmniejszyć ryzyko alarmów, usuwane są atrybuty kwarantanny, a zmodyfikowana aplikacja może zostać podpisana w trybie ad hoc.

Reaper uzyskuje trwałość poprzez instalację skryptu podszywającego się pod legalny proces aktualizacji Google i rejestrację go jako LaunchAgent. Dzięki temu zagrożenie może uruchamiać się cyklicznie, komunikować z infrastrukturą operatora oraz pobierać dalsze polecenia lub dodatkowe ładunki.

Konsekwencje / ryzyko

Z punktu widzenia użytkowników i organizacji SHub Reaper stanowi poważne zagrożenie, ponieważ łączy kradzież poświadczeń, danych finansowych i artefaktów operacyjnych. Oznacza to, że pojedyncza infekcja może szybko przełożyć się zarówno na straty finansowe, jak i na incydent obejmujący infrastrukturę firmową.

Kompromitacja danych z przeglądarek i menedżerów haseł może prowadzić do przejęcia poczty, usług SaaS, paneli administracyjnych i środowisk chmurowych. Kradzież sesji Telegrama, plików projektowych i konfiguracji deweloperskich zwiększa ryzyko dalszych włamań, wycieku kodu źródłowego, przejęcia repozytoriów lub poruszania się bocznego po środowisku organizacji.

Dodatkowym problemem jest obecność mechanizmu trwałości. To sprawia, że Reaper nie musi być wyłącznie jednorazowym infostealerem. Może stać się etapem wstępnym dla bardziej zaawansowanej kompromitacji, obejmującej długotrwały dostęp do urządzenia i dostarczanie kolejnych modułów malware.

Rekomendacje

W celu ograniczenia ryzyka organizacje i użytkownicy korzystający z macOS powinni wdrożyć ochronę wielowarstwową, obejmującą zarówno profilaktykę, jak i detekcję.

• Instalować aplikacje wyłącznie z oficjalnych źródeł i unikać pobierania pakietów z domen podszywających się pod znane marki.
• Monitorować nietypowe uruchomienia Edytora skryptów, osascript, curl i zsh, zwłaszcza jeśli pojawiają się w jednym łańcuchu wykonania.
• Analizować nowe wpisy LaunchAgent, szczególnie gdy ich nazwy sugerują legalne procesy aktualizacyjne.
• Kontrolować modyfikacje pakietów aplikacji portfeli kryptowalutowych oraz działania związane z usuwaniem atrybutów kwarantanny.
• Wdrażać EDR lub XDR dla macOS z regułami behawioralnymi obejmującymi kradzież danych z przeglądarek, dostęp do Keychain i mechanizmy trwałości.
• Szkolić użytkowników, że prawidłowe aktualizacje bezpieczeństwa Apple nie wymagają ręcznego uruchamiania skryptów w Edytorze skryptów.
• Przeprowadzać regularny hunting pod kątem podejrzanych plików w katalogach użytkownika, nowych agentów uruchomieniowych i nieautoryzowanych zmian w aplikacjach.

Podsumowanie

SHub Reaper pokazuje, że zagrożenia dla macOS szybko dojrzewają i dostosowują się do zmian w mechanizmach ochronnych platformy Apple. Przeniesienie ataku z Terminala do AppleScript i Edytora skryptów zwiększa wiarygodność kampanii oraz utrudnia jej rozpoznanie przez użytkownika.

Dla zespołów bezpieczeństwa to sygnał, że ochrona środowisk macOS wymaga dziś równie uważnego monitorowania natywnych narzędzi systemowych, jak w przypadku innych platform. Fałszywy komunikat o aktualizacji może być jedynie początkiem kompromitacji prowadzącej do kradzieży danych, utraty środków i długotrwałego dostępu atakującego do urządzenia.

Źródła

1. BleepingComputer — SHub macOS infostealer variant spoofs Apple security updates — https://www.bleepingcomputer.com/news/security/shub-macos-infostealer-variant-spoofs-apple-security-updates/
2. SentinelOne — SHub Reaper: New macOS Variant Adds Malicious AppleScript to Infostealer Arsenal — https://www.sentinelone.com/blog/shub-reaper-new-macos-variant-adds-malicious-applescript-to-infostealer-arsenal/