Shub Reaper spoofa Apple, Google e Microsoft per rubare dati su macOS

Shub Reaper è il nuovo stealer per macOS scoperto da SentinelOne che spoofa contemporaneamente Apple, Google e Microsoft all’interno di una singola catena di attacco multi-stage. La variante Reaper della famiglia SHub Stealer utilizza falsi installer di WeChat e Miro ospitati su domini typo-squatted come mlcrosoft[.]co[.]com e mlroweb[.]com per ingannare gli utenti. Il malware bypassa le mitigazioni introdotte da Apple Tahoe 26.4 lanciando AppleScript direttamente tramite lo scheme applescript:// senza coinvolgere il Terminale. Una volta eseguito, ruba credenziali da browser, password manager, macOS Keychain, iCloud, Telegram e wallet crypto. Il malware raccoglie inoltre file da Desktop e Documenti tramite un Filegrabber intelligente e li esfiltra in chunk da 70 MB verso il server di comando e controllo principale. La persistenza viene ottenuta mascherandosi come GoogleUpdate.app con un LaunchAgent chiamato com.google.keystone.agent.plist. SentinelOne ha tracciato build tag “Reaper” con hash specifici e ha pubblicato tutti gli indicatori di compromissione per aiutare amministratori e ricercatori a rilevare e rimuovere rapidamente eventuali infezioni.

Shub Reaper evolve gli infostealer macOS con una catena stealth multi-stage

Il malware rappresenta un’evoluzione significativa delle minacce infostealer su macOS. Gli attaccanti sfruttano tecniche avanzate di ingegneria sociale attraverso installer falsi di applicazioni popolari e combinano AppleScript, shell script e Bash per ottenere un’esecuzione completamente stealth. La catena iniziale evita di scrivere file permanenti su disco e utilizza osascript per eseguire il payload direttamente in memoria. Prima dell’esfiltrazione, Shub Reaper raccoglie telemetria dettagliata tramite JavaScript eseguito sui siti lure. Le informazioni raccolte includono indirizzo IP, geolocalizzazione, fingerprint WebGL, presenza di VPN o macchine virtuali e lista delle estensioni browser installate come 1Password, Bitwarden e MetaMask. Se il malware rileva sorgenti di input russe o appartenenti all’area CIS all’interno del file com.apple.HIToolbox.plist, invia un evento chiamato cis_blocked al C2 e termina immediatamente l’esecuzione. Questa tecnica di geofencing riduce il rischio di analisi da parte di ricercatori localizzati in regioni considerate sensibili dagli operatori della campagna.

I falsi installer di WeChat e Miro avviano l’attacco iniziale

L’attacco inizia attraverso siti web contraffatti che ospitano installer fake di WeChat o Miro. Quando l’utente clicca sul download, viene attivato lo scheme applescript:// che apre automaticamente Script Editor con un payload precompilato. L’AppleScript visualizza un falso messaggio di aggiornamento Apple che cita XProtectRemediator per aumentare la credibilità dell’operazione. In background, il codice decodifica ed esegue un comando curl che scarica uno stub shell script. Lo stub esegue controlli ambientali sul dispositivo e, se il sistema risulta idoneo, recupera il payload principale tramite osascript senza salvare nulla direttamente su disco nelle fasi iniziali. Questa modalità di esecuzione in memoria riduce notevolmente la probabilità di rilevamento da parte di antivirus tradizionali e strumenti EDR basati su monitoraggio file-system. Dopo l’avvio del payload principale, il malware mostra un finto errore di sistema e chiede all’utente la password di login per “risolvere il problema”. La password raccolta viene utilizzata successivamente per decrittare il Keychain di macOS e accedere ai dati iCloud associati all’utente compromesso.

Shub Reaper ruba dati da browser, password manager e iCloud

Una volta ottenute le credenziali di sistema, Shub Reaper avvia la raccolta massiva di dati sensibili dai principali browser macOS. Il malware prende di mira Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc e Orion, esfiltrando password salvate, cookie di sessione, token di autenticazione e dati delle estensioni browser. L’infostealer cerca specificamente anche informazioni memorizzate in password manager e wallet crypto browser-based. Parallelamente, il modulo Filegrabber scandisce le cartelle Desktop e Documenti alla ricerca di file con estensioni come .docx, .pdf, .wallet, .key, .json e altri formati sensibili utilizzati per backup, chiavi private o documentazione finanziaria. La raccolta si interrompe al raggiungimento di un limite massimo di circa 150 MB per evitare anomalie di traffico troppo evidenti. I dati vengono compressi in un archivio chiamato /tmp/shub_log.zip. Se il file supera gli 85 MB, uno script Bash integrato lo suddivide automaticamente in chunk da 70 MB per semplificare l’esfiltrazione verso il C2 senza generare trasferimenti troppo voluminosi.

Il malware spoofa Apple, Google e Microsoft nella stessa operazione

Uno degli aspetti più sofisticati di Shub Reaper è la capacità di spoofare simultaneamente tre dei principali vendor tecnologici mondiali. Durante la fase iniziale il malware si presenta come aggiornamento di sicurezza Apple utilizzando riferimenti falsi a XProtectRemediator. Per ottenere persistenza crea invece una struttura che imita il sistema di aggiornamento di Google Chrome, installando una directory chiamata ~/Library/Application Support/Google/GoogleUpdate.app e registrando un LaunchAgent denominato com.google.keystone.agent.plist che esegue un backdoor Bash ogni 60 secondi. Parallelamente i domini di distribuzione utilizzano typo-squatting legato a Microsoft, come mlcrosoft[.]co[.]com, per aumentare ulteriormente la credibilità dei siti malevoli. Questa triplice impersonificazione rende il malware molto più difficile da individuare sia per gli utenti sia per sistemi di detection basati su nomi processo, percorsi file o reputazione dei vendor. Il backdoor persistente controlla periodicamente il C2 e riceve comandi remoti scritti temporaneamente in /tmp/.c.sh, eseguendoli poi in maniera effimera senza lasciare tracce persistenti evidenti.

Shub Reaper modifica wallet crypto con hijacking di app.asar

Dopo l’esfiltrazione iniziale, Shub Reaper cerca wallet crypto installati localmente come Exodus, Atomic, Ledger Live, Electrum e Trezor Suite. Il malware scarica dal C2 un file app.asar modificato, termina il processo del wallet bersaglio e sostituisce il file originale con la versione malevola. Successivamente rimuove gli attributi di quarantena tramite il comando xattr -cr e applica un ad-hoc code signing per evitare avvisi immediati del sistema operativo. Questa tecnica consente agli attaccanti di intercettare transazioni future, raccogliere seed phrase o monitorare l’attività dell’utente senza introdurre anomalie immediatamente visibili. Il hijacking di app.asar risulta particolarmente efficace perché molte applicazioni Electron basano il proprio funzionamento proprio su questo archivio contenente il codice applicativo. In questo modo gli operatori di Shub Reaper possono ottenere persistenza e controllo anche sulle future attività finanziarie della vittima legate ai wallet compromessi.

SentinelOne pubblica IOC e hash per identificare le infezioni

SentinelOne ha pubblicato un elenco completo di indicatori di compromissione associati a Shub Reaper. Il server C2 principale identificato è hebsbsbzjsjshduxbs[.]xyz con endpoint come /api/debug/event, /api/bot/heartbeat e /gate/chunk. I domini lure includono qq-0732gwh22[.]com, mlcrosoft[.]co[.]com e mlroweb[.]com. Sul file system, il malware crea percorsi come ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate, ~/Library/LaunchAgents/com.google.keystone.agent.plist e file temporanei nella directory /tmp/shub_*. SentinelOne ha inoltre identificato il build ID 6552824c59ddacb134073f24a4bd4724514a938a9dc59f1733503642faed3bd3 e il build hash c917fcf8314228862571f80c9e4a871e. Gli amministratori macOS devono verificare attentamente questi percorsi, monitorare i LaunchAgent sospetti e bloccare immediatamente i domini identificati per prevenire nuove infezioni o comunicazioni attive con il C2.

Shub Reaper mostra l’evoluzione delle minacce macOS moderne

Shub Reaper dimostra come gli attaccanti continuino a perfezionare le tecniche di social engineering, persistence ed evasione su macOS. La combinazione di spoofing multi-vendor, esecuzione completamente in memoria e geofencing selettivo rende questo stealer particolarmente sofisticato e difficile da individuare. Gli utenti macOS devono evitare l’esecuzione di AppleScript provenienti da fonti non verificate e mantenere aggiornati sistemi operativi, browser e strumenti di sicurezza. SentinelOne raccomanda di monitorare attentamente i percorsi di persistenza collegati a GoogleUpdate e i domini C2 identificati per intercettare rapidamente eventuali compromissioni. L’evoluzione di Shub Reaper conferma inoltre che il panorama malware macOS sta diventando sempre più vicino, per sofisticazione e capacità operative, alle campagne tradizionalmente osservate nell’ecosistema Windows.