Infostealers die macOS als doelwit hebben, zijn de afgelopen twee jaar sterk toegenomen. Dreigingsactoren passen succesvolle technieken toe binnen verschillende malwarefamilies. Onderzoekers van Moonlock, Jamf en Malwarebytes hebben eerder de opkomst van SHub Stealer gedocumenteerd, inclusief het gebruik van nep-applicatie-installers en social engineering via “ClickFix”. Deze week observeerde SentinelOne een nieuwe variant van SHub met de build-tag “Reaper”. Deze variant maakt gebruik van valse WeChat- en Miro-installers als lokaas, maar onderscheidt zich vooral door de manier waarop de infectieketen bij elke stap van vermomming wisselt. De payload kan gehost worden op een typo-squatted Microsoft-domein, uitgevoerd worden onder het mom van een Apple-beveiligingsupdate en persistent blijven via een nep Google Software Update-map.

Naast de eerder bekende functies van SHub voegt deze build een AMOS-achtige module toe voor het stelen van documenten met gefragmenteerde uploads. SentinelOne analyseert in dit bericht de afleveringsketen van de Reaper-variant, de mogelijkheid om bestanden te stelen en de strategie voor persistentie, en biedt indicatoren van compromittering ter ondersteuning van verdedigers.

De Reaper-malware wordt, net als eerdere SHub-versies, via een meerfasige uitvoering verspreid. In tegenstelling tot de standaard “ClickFix” social engineering waarbij slachtoffers worden misleid om een commando in Terminal te plakken, gebruikt deze variant een afleveringsmechanisme dat Terminal volledig omzeilt en de mitigatie van Apple’s Tahoe 26.4 ontwijkt. Reaper maakt gebruik van het applescript:// URL-schema om de macOS Script Editor te openen, vooraf gevuld met de kwaadaardige payload. Deze techniek is eerder door SentinelOne beschreven en later door Jamf in een vergelijkbare campagne gedocumenteerd. De HTML-broncode toont dat het script dynamisch wordt opgebouwd en opgevuld met ASCII-art en neptermen, zodat het kwaadaardige commando bij het laden in Script Editor.app buiten het zicht valt.

Wanneer het slachtoffer op ‘Run’ klikt, toont het ingebedde AppleScript een valse update-melding die verwijst naar Apple’s XProtectRemediator-tool, terwijl het stilletjes een curl-commando decodeert en uitvoert om het initiële shellscript op te halen. Het script controleert vervolgens de taalinstellingen van het slachtoffer door het bestand com.apple.HIToolbox.plist te raadplegen op Russische invoerbronnen. Als het systeem zich in de CIS-regio bevindt, stuurt de malware een ‘cis_blocked’ telemetrie-event naar de command-and-control-server en stopt de uitvoering. In andere gevallen wordt een AppleScript opgehaald dat de kern van de exfiltratie uitvoert zonder lokale schijftoegang via osascript.

De nep WeChat- en Miro-installatiepagina’s zijn niet slechts statische lokaaswebsites. Voor het activeren van de AppleScript-payload verzamelen ze uitgebreide systeem- en browserinformatie, waaronder IP-adres, locatie, WebGL-fingerafdrukken en aanwijzingen voor virtuele machines of VPN-gebruik. Deze campagnes worden gehost op misleidende domeinen, waaronder het typo-squatted mlcrosoft[.]co[.]com. De JavaScript op de pagina’s inventariseert ook geïnstalleerde browserextensies, met name wachtwoordmanagers zoals 1Password, Bitwarden en LastPass, evenals cryptowallets als MetaMask en Phantom. Deze verzamelde telemetrie, inclusief browserextensiegegevens, helpt de malware om analyses te ontwijken en de aanval beter af te stemmen.