Новий вірус на Mac OS маскується під Google і краде інформацію

Дослідники виявили новий шкідливий інструмент для macOS під назвою Reaper — вдосконалену версію інфостилера SHub. Програма використовує нетривіальний метод зараження: замість того щоб змушувати жертву вводити команди в Термінал, вона відкриває вбудований редактор сценаріїв Apple із вже підготовленим шкідливим кодом. Щойно користувач натискає «Run», запускається ланцюжок зараження.

Схема атаки задіює протокол applescript://, який відкриває Script Editor macOS і демонструє код AppleScript. Після запуску сценарій виводить підроблене повідомлення про оновлення Apple, завантажує шкідливий скрипт через curl і виконує його через zsh. Цей прийом дозволяє обійти захист, який Apple додала наприкінці березня в macOS Tahoe 26.4 саме для блокування підозрілих команд у Терміналі.

Жертв заманювали на підроблені сайти з фейковими інсталяторами WeChat і Miro. Серед зафіксованих доменів — qq-0732gwh22[.]com, mlcrosoft[.]co[.]com та mlroweb[.]com. Ці ресурси заздалегідь перевіряли пристрій відвідувача на ознаки віртуальної машини або VPN, а також збирали дані про браузерні розширення — менеджери паролів і криптогаманці. Зібрана інформація передавалась зловмисникам через Telegram-бота.

Перед початком крадіжки Reaper перевіряє розкладку клавіатури: якщо виявлено російську — надсилає на керуючий сервер подію cis_blocked і припиняє роботу без зараження системи. В іншому випадку програма запитує пароль macOS, що відкриває доступ до Keychain, збережених облікових даних і захищених файлів. Далі стилер атакує Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc та Orion, а також розширення MetaMask, Phantom, 1Password, Bitwarden і LastPass. Під удар потрапляють і десктопні криптогаманці: Exodus, Atomic Wallet, Ledger Live, Electrum та Trezor Suite.

Окремий модуль Filegrabber сканує робочий стіл і папку «Документи» в пошуках конфіденційних файлів. Програма забирає файли розміром до 2 МБ, зображення PNG — до 6 МБ, а загальний обсяг викрадених даних обмежений 150 МБ. Якщо на пристрої виявлено застосунки криптогаманців, Reaper завершує їхні процеси та підміняє основний файл шкідливим app.asar, завантаженим із керуючого сервера. Щоб macOS не спрацювала через Gatekeeper, вірус очищає атрибути карантину за допомогою xattr ‑cr і перепідписує змінений застосунок тимчасовим підписом.

Для закріплення в системі Reaper реєструє через LaunchAgent сценарій, що маскується під оновлення програм Google. Він запускається щохвилини, надсилає системну інформацію на сервер зловмисників і може отримати нове шкідливе навантаження. Після виконання файл самознищується — це забезпечує тривалий і прихований доступ до зараженого пристрою.

Творці SHub активно розвивають інструмент, перетворюючи його на повноцінний засіб віддаленого доступу. Фахівці з безпеки радять відстежувати підозрілий мережевий трафік після запуску Script Editor, а також появу нових LaunchAgent і файлів, що видають себе за компоненти довірених розробників.