Novo variante da família SHub infostealer
Usuários do macOS estão enfrentando uma nova e sofisticada ameaça, conforme uma variante do malware infostaler SHub, apelidado de "Reaper", tem sido observada implantando um LaunchAgent falso de atualização de software do Google para manter acesso persistente em máquinas infectadas. O malware permanece oculto emprestando a identidade de marcas que os usuários já confiam, tornando-o excepcionalmente difícil de detectar sem ferramentas de segurança dedicadas.
Cadeia de infecção e disfarces
O que torna o Reaper especialmente perigoso é como ele muda seu disfarce em cada estágio da cadeia de infecção. Uma vítima pode encontrar um instalador falsificado para um aplicativo bem conhecido como WeChat ou Miro, entregue através de um domínio typo-squatted que impersona infraestrutura da Microsoft. O payload é então executado sob o disfarce de uma atualização de segurança da Apple, e a persistência se esconde dentro de um diretório que imita o próprio sistema de atualização de software do Google.
Uma vez que um usuário é enganado para executar o instalador falso, o malware usa AppleScript para entregar o script de shell inicial em vez de confiar na engenharia social ClickFix padrão. O comando malicioso é construído dinamicamente e preenchido com strings base64 codificadas, mantendo-o oculto abaixo da parte visível da janela do Script Editor.
Mecanismo de persistência e execução remota
Antes de terminar sua execução inicial, o Reaper estabelece persistência usando uma estrutura de diretório construída para imitar o serviço de atualização legítimo Keystone do Google. Ele coloca um script bash decodificado em base64 chamado GoogleUpdate dentro de ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/, e registra um LaunchAgent usando um arquivo de propriedade chamado com.google.keystone.agent.plist. Isso faz com que o script execute silenciosamente a cada 60 segundos em segundo plano.
Cada vez que o LaunchAgent dispara, o script envia detalhes do sistema para o endpoint /api/bot/heartbeat do atacante. Se o servidor retornar um payload "code", o script o decodifica, escreve em /tmp/.c.sh, executa com as permissões do usuário atual e, em seguida, o exclui. Isso dá ao atacante um canal de execução remota persistente e sem rastros na máquina comprometida.
Roubo de dados e medidas anti-análise
O Reaper inclui uma rotina FileGrabber que varre as pastas Desktop e Documents em busca de arquivos que provavelmente contêm valor comercial ou financeiro. Ele visa extensões como .docx, .wallet, .key, .json e .rdp, além de imagens abaixo de 1MB e documentos abaixo de 5MB, limitando a coleta total a 100MB. Os arquivos são estagiados em /tmp/shub_random/ antes de serem divididos em chunks de 10MB e enviados para o servidor do atacante via curl.
O malware também visa aplicativos de desktop de criptomoedas, incluindo Exodus, Atomic, Ledger Live e Trezor Suite, enquanto colhe credenciais de navegador e teclas de desenvolvedor. Ele substitui funções de console e executa um loop de depuração contínuo para obstruir a análise de segurança. Se um pesquisador abre o DevTools, a página substitui seu conteúdo com uma mensagem de acesso negado em russo.
Indicadores de Comprometimento (IoCs)
Os defensores devem monitorar atividades de AppleScript inesperadas, conexões de saída incomuns após a execução do Script Editor e novos LaunchAgents em namespaces vinculados a fornecedores de software confiáveis. Domínios como mlcrosoft[.]co[.]com e endpoints de C2 como hebsbsbzjsjshduxbs[.]xyz são indicadores chave. O caminho ~/Library/LaunchAgents/com.google.keystone.agent.plist é um sinal claro de persistência maliciosa.
Recomendações para administradores de sistemas
A SentinelOne aconselha os usuários a evitar a execução de scripts de sites que afirmam que uma atualização de segurança manual é necessária, pois a Apple nunca solicita que os usuários abram o Script Editor e executem comandos. Os usuários devem verificar as URLs cuidadosamente e baixar software apenas de sites de desenvolvedores oficiais ou da Mac App Store. A auditoria regular de LaunchAgents e a monitoração de scripts em execução são essenciais para a detecção precoce.