SHub macOSインフォスティーラー亜種がAppleのセキュリティアップデートを偽装

‘SHub’ macOSインフォスティーラーの新しい亜種は、AppleScriptを使用して偽のセキュリティアップデートメッセージを表示し、バックドアをインストールします。

Reaperと名付けられたこの新バージョンは、機密ブラウザデータを盗み、財務情報を含む可能性のあるドキュメントとファイルを収集し、暗号ウォレットアプリをハイジャックします。

ユーザーをだまして端末でコマンドを貼り付けて実行させる「ClickFix」戦術に依存していた以前のSHubキャンペーンとは異なり、Reaperはapplescript:// URLスキームを利用して、悪意のあるAppleScriptがプリロードされたmacOSスクリプトエディタを起動します。

このアプローチは、3月後半にmacOS Tahoe 26.4で導入されたターミナルベースの対策を迂回します。同対策は有害な可能性のあるコマンドの貼り付けと実行をブロックしていました。

SentinelOneの研究者は新しいSHubインフォスティーラー亜種を特定し、ユーザーがWeChat とMiroアプリケーションの偽のインストーラーでおびき寄せられていることを発見しました。これらは、経験の少ないユーザーに正当に見えるドメインでホストされています（例：qq-0732gwh22[.]com、mlcrosoft[.]co[.]com、mlroweb[.]com）。

現在のところ、偽のQQとMicrosoftドメインはいまだに偽のWeChatiンストーラーを配信していますが、Miroビジュアルコラボレーションプラットフォームを装ったドメインは正規ウェブサイトにリダイレクトしています。

BleepingComputerは、WindowsとAndroidのダウンロードボタンがDropboxアカウントにホストされている同じ実行ファイルを配信していることに気づきました。

AppleScriptを実行する前に、悪意のあるウェブサイトは訪問者のデバイスをフィンガープリント化して仮想マシンとVPNを確認します。これは分析マシンを示唆する可能性があり、パスワードマネージャーと暗号ウォレットのインストール済みブラウザ拡張機能を列挙します。すべてのテレメトリデータはTelegram botを経由して攻撃者に配信されます。

SentinelOneの本日のレポートでは、ペイロードを取得するコマンドを含むスクリプトが動的に構成され、ASCIIアートの下に隠されていることが指摘されています。

被害者が「実行」をクリックすると、スクリプトはXProtectRemediatorを参照する偽のAppleセキュリティアップデートメッセージを表示し、「curl」を使用してシェルスクリプトをダウンロードし、「zsh」を経由してサイレントに実行します。

データ盗難ロジックを展開する前に、マルウェアはシステムチェックを実行して、被害者がロシア語のキーボード/入力を使用しているかどうかを判断します。一致する場合は、コマンドアンドコントロール（C2）サーバーに「cis_blocked」イベントを報告し、システムに感染させずに終了します。

ホストがロシア語でない場合、Reaperはデータ盗難ルーチンを備えた悪意のあるAppleScriptを取得して実行します。これはmacOSに組み込まれたosascriptコマンドラインツールを使用します。

起動時に、ユーザーのmacOSパスワードを要求します。その後、Keychainアイテムへのアクセス、認証情報の復号化、保護されたデータへのアクセスに使用できます。次に、インフォスティーラーは以下をターゲットにします：

• Google Chrome、Mozilla Firefox、Brave、Microsoft Edge、Opera、Vivaldi、Arc、およびOrionからのブラウザデータ
• MetaMaskおよびPhantomを含む暗号ウォレットブラウザ拡張機能
• 1Password、Bitwarden、およびLastPassを含むパスワードマネージャーブラウザ拡張機能
• Exodus、Atomic Wallet、Ledger Live、Electrum、およびTrezor Suiteを含むデスクトップ暗号ウォレットアプリケーション
• iCloudアカウントデータ
• Telegramセッションデータ
• 開発者関連の設定ファイル

Reaperには、機密情報を含む可能性が高いファイルタイプのデスクトップとドキュメントフォルダを検索する「Filegrabber」モジュールも含まれています。2MB以下のターゲットファイルを収集するか、PNG画像ファイルの場合は最大6MBまで収集し、合計ボリュームの制限は150MBに設定されています。

ウォレットアプリケーションが存在する場合、それらのプロセスを終了し、正当なコアアプリケーションファイルをコマンドアンドコントロール（C2）サーバーからダウンロードされた「app.asar」という悪意のあるファイルに置き換えることでハイジャックします。

Gatekeeperアラートを回避するため、SHub Reaperマルウェアは「xattr -crで検疫属性をクリアし、変更されたアプリケーションバンドルでアドホックコード署名を使用します」と研究者は説明しています。

SentinelOneは、マルウェアがGoogleソフトウェアアップデートを装うスクリプトをインストールして永続性を確立し、LaunchAgentを使用して登録することを警告しています。スクリプトは毎分実行され、システム情報をC2に送信するビーコンとして機能します。

スクリプトがペイロードを受け取る場合、それを現在のユーザーのコンテキストでデコードして実行し、その後ファイルを削除することができます。これにより、攻撃者はマシンへの拡張アクセス権を得ることができます。

SentinelOneは、SHub操作者がインフォスティーラーの機能を拡張して侵害されたデバイスへのリモートアクセスを含めていることを強調しています。これにより、追加のマルウェアの取得が可能になる可能性があります。

研究者は、新しいSHub Reaperインフォスティーラー亜種に関連する悪意のある動作から保護するのに役立つ一連の侵害の指標を提供しています。

SentinelOneは、スクリプトエディタの実行後の疑わしいアウトバウンドトラフィック、または信頼できるベンダーの名前空間内の新しいLaunchAgentおよび関連ファイルを監視することを推奨しています。