macOS上で、偽りの「セキュリティアップデート」を通じてユーザーを欺くために設計された新しい悪用技術が浮上しました。Reaper(高度なSHUb情報窃盗マルウェアの進化版)という悪意のあるペイロードは、被害者をターミナルにコマンドを貼り付けるよう強制するためのソーシャルエンジニアリングに依存しなくなりました。代わりに、それは武器化されたコードがプリロードされたAppleのネイティブスクリプトエディタをシームレスに起動します。
SentinelOneの脅威インテリジェンス研究者は、Reaperがブラウザのテレメトリーを体系的に流出させ、機密の財務インテリジェンスを含むドキュメントをスキャンし、暗号通貨ウォレットを危険にさらし、感染したホストへの秘密のバックドアを確立していることを報告しています。マルウェアはapplescript:// URIスキームを悪用してmacOSスクリプトエディタを呼び出し、ユーザーにAppleScriptペイロードを提示します。被害者が「実行」をクリックしてスクリプトを実行すると、プログラムは不正なAppleアップデートプロンプトを生成し、curl経由で二次的な悪意のあるスクリプトを取得し、zshシェルを通じてそれを実行します。
この洗練された策略は、3月下旬にmacOS Tahoe 26.4内でAppleが導入した防御緩和策を正常に回避しています。そのアップデートはターミナル内で危険なコマンドを貼り付けて実行することを効果的に妨害しましたが、Reaperは攻撃ベクトルを別の本来的に信頼されたシステムユーティリティに優雅にピボットします。
被害者はWeChatとMiroのトロイの木馬化されたインストーラーを使用して誘い込まれ、これは入念に製作されたフィッシングドメインでホストされていました。特定されたインフラストラクチャにはqq-0732gwh22[.]com、mlcrosoft[.]co[.]com、およびmlroweb[.]comが含まれていました。これらの欺瞞的なウェブポータルは訪問者のエンドポイントを積極的にフィンガープリント化し、ハイパーバイザーアーティファクトまたはアクティブなVPN接続をスキャンしながら、パスワードマネージャーと暗号通貨ウォレットに関連するブラウザ拡張機能を列挙していました。収集されたテレメトリーはその後、専用のTelegramボット経由で脅威アクターに流出されました。
データ流出を開始する前に、Reaperは被害者がロシアのキーボードレイアウトを使用しているかどうかを判断するための環境チェックを実施します。肯定的な一致が発生した場合、マルウェアはコマンド&コントロール(C2)サーバーにcis_blockedイベントを送信し、実行を優雅に終了して、システムをきれいで感染なしのままにします。
ホストがこの地理フェンシング検証に合格した場合、Reaperはユーザーに中心的なmacOS認証情報の入力を求めます。このパスワードを確保すると、キーチェーン、ローカルにキャッシュされた認証情報、および暗号化保護されたファイルへのアクセスが解放されます。その後、マルウェアはGoogle Chrome、Mozilla Firefox、Brave、Microsoft Edge、Opera、Vivaldi、Arc、およびOrionを含む包括的なブラウザアレイからテレメトリーを略奪し、MetaMask、Phantom、1Password、Bitwarden、およびLastPassなどの拡張機能を積極的に標的にしています。さらに、デスクトップ暗号通貨ウォレット(特にExodus、Atomic Wallet、Ledger Live、Electrum、Trezor Suite)を危険にさらしています。さらに、ReaperはiCloudの同期データ、アクティブなTelegramセッショントークン、およびソフトウェア開発環境に関連する独自の構成ファイルを収集しようとします。
離散的なFilegrabberモジュールがデスクトップおよびドキュメントディレクトリを検索して、機密インテリジェンスを保有している可能性のあるアセットを調べるために配置されます。マルウェアは標準ファイルを2 MBまでのサイズで流出させるように調整され、PNG画像アセットを6 MBまで、盗まれたデータの総量に150 MBのハードキャップを強制してネットワークノイズを最小限に抑えます。
アクティブな暗号通貨ウォレットアプリケーションを検出すると、Reaperはそれらの実行中のプロセスを強制的に終了し、プライマリアプリケーションコアをC2インフラストラクチャから取得した悪意のあるapp.asarペイロードで上書きします。macOS Gatekeeperセキュリティアラートを未然に防ぎ、中和するために、Reaperはxattr -crコマンド経由で検疫拡張属性を削除し、改ざんされたアプリケーションをアドホック署名を使用して暗号化を再署名します。
さらに、Reaperはホスト環境内に堅牢な永続化メカニズムを確立しています。マルウェアは良性のGoogleソフトウェアアップデートとして精密に偽装されたスクリプトをインストールし、LaunchAgentを通じてそれを登録します。このデーモンは1分間隔で実行され、C2サーバーにシステムテレメトリーを送信し、二次的なペイロードを取り込むのを待ちます。実行後、初期の悪意のあるアーティファクトは安全に消去され、攻撃者に侵害されたエンドポイントへの長期間にわたる深く難読化されたアクセスを与えます。
SentinelOne分析家は、SHubの設計者が窃盗機能の拡張を積極的に行い、それを完全に機能するリモートアクセストロイの木馬(RAT)に進化させていることについて、厳しい警告を発しています。ネットワーク防御者とシステム管理者は、スクリプトエディタの呼び出しに続く異常なアウトバウンドトラフィックを監視し、信頼できる確認済みベンダーのコンポーネントになりすましているファイルと共に、新しいLaunchAgentのデプロイメントを厳密に監査することを強く推奨されています。
