SentinelOneが発見した「Reaper」というSHub macOS情報窃取マルウェアの亜種は、Apple、Microsoft、Googleになりすましてユーザーを騙し、悪意のあるコードを実行させます。その後、ブラウザデータ、パスワードマネージャー、仮想通貨ウォレットを標的にしながら、継続的なアクセスのための永続性を確立します。
ClickFixが新しい配信方法に置き換わり
以前のSHubバージョンと同様に、Reaperは多段階の実行チェーンを使用します。研究者によると、この亜種は、被害者がターミナルにコマンドを貼り付けるよう仕掛ける標準的なClickFixのソーシャルエンジニアリング技法から離れ、代わりにapplescript:// URLスキームを使用して、悪意あるペイロードがすでにロードされた状態でmacOS Script Editorを起動し、これらの攻撃フローに対するAppleのTahoe 26.4対策を回避しています。
スクリプトはASCIIアートと偽のインストーラテキストでパディングされており、悪意のあるコマンドはScript Editorウィンドウの表示される部分の下に押し下げられます。
悪意のあるAppleScript(出典:SentinelOne)
「Reaperは偽のWeChatとMiroインストーラーをおとりとして使用していますが、目立つのは感染チェーンが各段階で変装を変える方法です。ペイロードはタイポスクワッティングされたMicrosoftドメインでホストされ、Appleのセキュリティアップデートの装いの下で実行され、偽のGoogle Software Updateディレクトリから永続化されます」と研究者は説明しています。
偽インストーラーページが被害者のデータを収集
攻撃は、mlcrosoft[.]co[.]comを含むユーザーを欺くために設計されたタイポスクワッティングドメインでホストされた、偽のWeChatとMiroインストーラーウェブサイトから始まります。
ユーザーがこれらのページにアクセスすると、バックグラウンドで実行されているJavaScriptがIPアドレス、位置情報、WebGLフィンガープリント詳細、仮想マシン、VPN使用、分析環境に関連する指標を含むシステムとブラウザー情報を収集します。
スクリプトは、インストールされたブラウザー拡張機能を列挙し、1Password、Bitwarden、LastPassなどのパスワードマネージャーとともに、MetaMaskやPhantomを含む仮想通貨ウォレット拡張機能を検索します。
収集された情報は、次の段階が始まる前に、ハードコードされたTelegram botを通じてオペレーターに送信されます。ユーザーがロシアにいると思われる場合、活動は停止します。
「ユーザーがScript Editorで「実行」をクリックすると、非表示のコマンドがリモートAppleScriptを取得して実行します。ユーザーはログインパスワードを入力するよう求められ、これはスクレイピングされて様々な認証情報を復号化するために使用され、誤解を招くエラーメッセージが表示される前に」と、SentinelOneは述べています。
偽のエラーメッセージ(出典:SentinelOne)
Reaperがデータ盗難と永続化を拡張
Reaperは、ブラウザー情報、仮想通貨ウォレット、開発者関連の構成ファイル、macOS Keychainデータ、iCloudアカウント情報、Telegramセッションデータを標的にすることで、SHubの既存のデータ盗難動作を保持します。
このバージョンは、macOS情報窃取マルウェアであるAtomic macOS Stealer(AMOS)で見られるような機能と同様のFilegrabberモジュールも追加しています。Filegrabberはデスクトップとドキュメントフォルダーを検索して、ビジネスまたは財務価値を含む可能性が高いファイルタイプを探しながら、合計収集サイズを150MBに制限します。ステージングされたデータが85MBを超える場合、マルウェアはアーカイブを70MB ZIPチャンクに分割してから、攻撃者が管理するインフラストラクチャーにアップロードします。
ユーザーのデータをアップロードした後、Reaperは、Exodus、Atomic Wallet、Ledger Wallet、Ledger Live、Trezor Suiteを含むデスクトップ仮想通貨ウォレットを侵害しようとします。ターゲットのウォレットが見つかった場合、マルウェアはコマンドアンドコントロールサーバーから変更されたapp.asarファイルを取得し、アクティブなウォレットプロセスを終了し、正規のアプリケーションファイルを置き換えます。
バックドアが感染したシステムを攻撃者の管理下に置く
Reaperは、Google Software Updateコンポーネントを模倣するように設計されたファイルを作成し、macOS LaunchAgentを通じてそれらを登録することで、永続性を確立します。
具体的には、マルウェアは~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/の下にディレクトリ構造を作成し、その中にGoogleUpdateという名前のBase64デコードされたbashスクリプトを配置し、com.google.keystone.agent.plistという名前のLaunchAgentプロパティリストを使用してそれを登録します。
「LaunchAgentはターゲットスクリプトGoogleUpdateを60秒ごとに実行します」と研究者は付け加えました。「スクリプトはビーコンとして機能し、システムの詳細をC2の/api/bot/heartbeatエンドポイントに送信します。」
サーバーが「code」ペイロードを返す場合、マルウェアは感染したユーザーの特権を使用して命令をデコードして実行し、攻撃者に遠隔コード実行用の永続的なバックドアを提供します。
監視と検出ガイダンス
SentinelOneは、ユーザーがソフトウェアダウンロードとセキュリティプロンプトに注意を払うことを勧めています。特に信頼できるブランドから来ているように見える場合です。
防御者の場合、研究者は異常なAppleScript活動、Script Editor実行後の予期しないネットワーク接続、および正規のソフトウェアベンダーに関連する名前を使用したLaunchAgentsまたはファイルの作成を監視することを推奨しています。
レポートは、組織がキャンペーンに関連する活動を検出するのに役立つ侵害指標(IoCs)を含む。
翻訳元: https://www.helpnetsecurity.com/2026/05/19/shub-reaper-macos-infostealer-apple-google-microsoft/
