Uma nova variante perigosa do malware SHub Stealer emergiu, targeting usuários de Mac de maneira mais inteligente e difícil de detectar do que antes. A versão atualizada, agora chamada de Reaper, se espalha através de sites falsos que imitam software popular, atraindo usuários desavisados para uma armadilha. Uma vez dentro de um sistema, ele pode drenar silenciosamente tudo, desde credenciais de navegador até carteiras de criptomoedas, antes que a vítima perceba qualquer coisa.
Evolução da ameaça SHub
O que torna esta versão particularmente preocupante é o método de ataque que ela usa para entrar no Mac. Em vez de confiar na velha tática de pedir aos usuários que copiem e cole um script em seu Terminal, o Reaper automatiza o processo inteiramente. Ele usa uma página web falsa para abrir silenciosamente o Script Editor do Mac, pré-carregado com código malicioso, e tudo o que o usuário precisa fazer é clicar em um botão para lançar a infecção sem saber.
Pesquisadores da Moonlock identificaram e relataram esta nova campanha SHub Reaper, notando que esta é a terceira vez em menos de dois meses que a técnica automatizada ClickFix apareceu em campanhas de malware macOS separadas. A tendência de automatizar o ClickFix está ganhando velocidade entre os agentes de ameaça macOS, que tendem a copiar táticas comprovadas uns dos outros.
Vetor e exploração
A campanha também se esforça para parecer confiável. Os atacantes falsificam marcas bem conhecidas e hospedam payloads de malware em domínios que parecem quase idênticos aos legítimos. Eles passam downloads de malware como atualizações de segurança da Apple e usam caminhos falsos de atualização de software do Google para plantar backdoors persistentes profundamente dentro do Mac da vítima.
O que realmente diferencia o Reaper é como ele lida com criptomoedas. Em vez de instalar um aplicativo de carteira falso, o Reaper cava no código de aplicativos de carteira de desktop legítimos já no Mac e os modifica silenciosamente para roubar fundos. Carteiras alvo incluem Exodus, Atomic, Ledger Live, Electrum e Trezor Suite.
Indicadores de Comprometimento (IOCs)
Os indicadores de comprometimento identificados incluem domínios como mlcrosoft[.]co[.]com (domínio typo-squatting), URLs de download falsas como support.apple[.]com/downloads/xprotect-remediator-150.dmg, e endpoints de C2 controlados por atacantes. O malware também cria diretórios como ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ para esconder seu backdoor como uma atualização falsa do Google.
Medidas de mitigação recomendadas
Para se proteger do Reaper, os usuários devem entender como ele ganha entrada. Se uma página web abrir repentinamente o Script Editor ou Terminal e pedir para clicar em Play, feche essa janela imediatamente. Usuários nunca devem inserir sua senha do sistema Mac em um pop-up que aparece logo após a instalação de software. Para quem possui criptomoedas, mover fundos para uma carteira fria offline ou um dispositivo dedicado separado é muito mais seguro.
Manter o sistema operacional e o software de segurança consistentemente atualizados dá às defesas uma chance muito melhor de capturar novas variantes de stealer antes que causem danos duradouros. As equipes de segurança devem monitorar processos suspeitos no Script Editor e verificar a existência de LaunchAgents não autorizados como com.google.keystone.agent.plist.
Implicações para o mercado de cripto
O roubo de carteiras de criptomoedas via modificação de código legítimo representa um risco crescente para o setor financeiro descentralizado. A capacidade do malware de modificar aplicativos existentes sem instalar novos arquivos torna a detecção tradicional baseada em assinatura menos eficaz, exigindo monitoramento comportamental e análise de integridade de arquivos.
O que os CISOs devem fazer imediatamente
1. Bloquear domínios maliciosos identificados nos firewalls. 2. Revisar logs de execução de scripts no macOS. 3. Alertar usuários sobre técnicas de ClickFix automatizadas. 4. Implementar restrições de execução de scripts no nível do sistema.