Varian infostealer macOS SHub memalsukan pembaruan keamanan Apple

Varian baru dari infostealer macOS ‘SHub’ menggunakan AppleScript untuk menampilkan pesan pembaruan keamanan palsu dan memasang pintu belakang.

Dijuluki Reaper, versi baru ini mencuri data sensitif browser, mengumpulkan dokumen dan file yang mungkin berisi rincian keuangan, dan membajak aplikasi dompet kripto.

Tidak seperti kampanye SHub sebelumnya yang mengandalkan taktik “ClickFix”, yang menipu pengguna agar menempelkan dan menjalankan perintah di Terminal, Reaper mengandalkan skema applescript:// URL untuk meluncurkan MacOS Script Editor yang dimuat sebelumnya dengan AppleScript berbahaya.

Pendekatan ini mengabaikan Mitigasi berbasis terminal Apple memperkenalkan macOS Tahoe 26.4 pada akhir Maret, yang memblokir penempelan dan pelaksanaan perintah yang berpotensi membahayakan.

Peneliti SentinelOne mengidentifikasi varian infostealer SHub baru dan menemukan bahwa pengguna dibujuk dengan penginstal palsu untuk aplikasi WeChat dan Miro yang dihosting di domain yang dibuat agar tampak sah bagi pengguna yang kurang berpengalaman (misalnya, qq-0732gwh22[.]com, mlcrosoft[.]bersama[.]com, mlrowweb[.]com).

Saat ini, domain QQ dan Microsoft palsu masih melayani penginstal WeChat palsu, sedangkan domain yang meniru platform kolaborasi visual Miro dialihkan ke situs web yang sah.

BleepingComputer memperhatikan bahwa tombol unduh untuk Windows dan Android menyajikan eksekusi yang sama yang dihosting di akun Dropbox.

Sebelum menggunakan AppleScript, situs web jahat mengambil sidik jari perangkat pengunjung untuk memeriksa mesin virtual dan VPN, yang mungkin menunjukkan mesin analisis dan menghitung ekstensi browser yang diinstal untuk pengelola kata sandi dan dompet mata uang kripto. Semua data telemetri dikirimkan ke penyerang melalui bot Telegram.

Laporan SentinelOne hari ini mencatat bahwa skrip dengan perintah yang mengambil payload dibuat secara dinamis dan disembunyikan di bawah seni ASCII.

Ketika korban mengklik ‘Jalankan’, skrip tersebut menampilkan pesan pembaruan keamanan Apple palsu yang merujuk pada XProtectRemediator, mengunduh skrip shell menggunakan ‘curl’, dan mengeksekusinya secara diam-diam melalui ‘zsh.’

Sebelum menerapkan logika pencurian datanya, malware tersebut melakukan pemeriksaan sistem untuk menentukan apakah korban menggunakan keyboard/input Rusia, dan jika ada kecocokan, malware tersebut akan melaporkan kejadian ‘cis_blocked’ ke server command-and-control (C2) dan keluar tanpa menginfeksi sistem.

Jika hostnya bukan orang Rusia, Reaper mengambil dan mengeksekusi AppleScript berbahaya dengan rutinitas pencurian data menggunakan alat baris perintah osascript yang ada di macOS.

Saat diluncurkan, ini meminta pengguna untuk memasukkan kata sandi macOS mereka, yang kemudian dapat digunakan untuk mengakses item Rantai Kunci, mendekripsi kredensial, dan mengakses data yang dilindungi. Selanjutnya, infostealer menargetkan hal-hal berikut:

• Data browser dari Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc, dan Orion
• Ekstensi browser dompet Cryptocurrency, termasuk MetaMask dan Phantom
• Ekstensi browser pengelola kata sandi, termasuk 1Password, Bitwarden, dan LastPass
• Aplikasi dompet cryptocurrency desktop, termasuk Exodus, Atomic Wallet, Ledger Live, Electrum, dan Trezor Suite
• data akun iCloud
• Data sesi Telegram
• File konfigurasi terkait pengembang

Reaper juga menyertakan modul “Filegrabber” yang mencari folder Desktop dan Dokumen untuk jenis file yang mungkin berisi informasi sensitif. Ini mengumpulkan file target yang lebih kecil dari 2 MB, atau hingga 6 MB untuk file gambar PNG, dengan batas volume total ditetapkan hingga 150 MB.

Ketika ada aplikasi dompet, ia akan membajaknya dengan menghentikan prosesnya dan mengganti file aplikasi inti yang sah dengan file berbahaya bernama app.asar yang diunduh dari server perintah-dan-kontrol (C2).

Untuk menghindari peringatan Gatekeeper, malware SHub Reaper “menghapus atribut karantina dengan xattr -cr dan kegunaan untuk ini penandatanganan kode pada bundel aplikasi yang dimodifikasi,” itu peneliti menjelaskan.

SentinelOne memperingatkan bahwa malware tersebut membangun persistensi dengan memasang skrip yang meniru pembaruan perangkat lunak Google dan mendaftarkannya menggunakan LaunchAgent. Skrip dijalankan setiap menit dan bertindak sebagai suar yang mengirimkan info sistem ke C2.

Jika skrip menerima payload, skrip dapat memecahkan kode dan mengeksekusinya dalam konteks pengguna saat ini, dan kemudian menghapus file tersebut, sehingga memberikan penyerang akses tambahan ke mesin.

SentinelOne menyoroti bahwa operator SHub memperluas kemampuan pencuri info dengan menyertakan akses jarak jauh ke perangkat yang disusupi, yang dapat memungkinkan munculnya malware tambahan.

Para peneliti telah memberikan serangkaian indikator kompromi yang dapat membantu pembela HAM melindungi dari perilaku jahat yang terkait dengan varian infostealer SHub Reaper yang baru.

SentinelOne merekomendasikan pemantauan lalu lintas keluar yang mencurigakan setelah eksekusi Editor Skrip, atau Agen Peluncuran baru dan file terkait di namespace vendor tepercaya.