Новая проблема для владельцев Mac. Вирус маскируется под Google и ворует данные каждую минуту

На macOS нашли новый способ обмануть пользователей с помощью поддельного «обновления безопасности». Вредоносная программа Reaper, новая версия инфостилера SHub, больше не просит жертву вставлять команды в Терминал, а открывает встроенный редактор сценариев Apple с уже подготовленным вредоносным кодом.

Специалисты SentinelOne сообщили, что Reaper крадет данные из браузеров, ищет документы с финансовой информацией, добирается до криптокошельков и устанавливает скрытый доступ к зараженному устройству. Вредоносная программа использует схему applescript://, чтобы запустить редактор сценариев macOS и показать пользователю код AppleScript. Если жертва нажимает «Run», сценарий выводит поддельное сообщение об обновлении Apple, скачивает вредоносный сценарий через curl и запускает его через zsh.

Такой прием помогает обойти защиту, которую Apple добавила в конце марта в macOS Tahoe 26.4. Обновление мешало вставлять и запускать потенциально опасные команды в Терминале, но Reaper переносит атаку в другой встроенный инструмент системы.

Жертв заманивали поддельными установщиками WeChat и Miro на сайтах, которые выглядели похожими на настоящие. Среди доменов были qq-0732gwh22[.]com, mlcrosoft[.]co[.]com и mlroweb[.]com. Поддельные сайты заранее проверяли устройство посетителя, искали признаки виртуальной машины или VPN, а также собирали сведения о расширениях браузера для менеджеров паролей и криптокошельков. Собранные данные отправлялись злоумышленникам через Telegram-бота.

Перед кражей данных Reaper проверяет, не использует ли жертва русскую раскладку клавиатуры. При совпадении вредоносная программа отправляет на управляющий сервер событие cis_blocked и завершает работу, не заражая систему.

Если проверка пройдена, Reaper просит пароль от macOS. Такой пароль может открыть доступ к «Связке ключей», сохраненным учетным данным и защищенным файлам. Затем вредоносная программа собирает данные из Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc и Orion, атакует расширения MetaMask, Phantom, 1Password, Bitwarden и LastPass, а также настольные криптокошельки Exodus, Atomic Wallet, Ledger Live, Electrum и Trezor Suite. Кроме того, Reaper пытается получить данные iCloud, сеансы Telegram и файлы настроек, связанные с разработкой.

Отдельный модуль Filegrabber ищет на рабочем столе и в папке «Документы» файлы, которые могут содержать конфиденциальные сведения. Вредоносная программа забирает файлы размером до 2 МБ, а изображения PNG — до 6 МБ. Общий объем украденных файлов ограничен 150 МБ.

Если Reaper находит приложения криптокошельков, вредоносная программа завершает их процессы и подменяет основной файл приложения вредоносным app.asar, загруженным с управляющего сервера. Чтобы macOS не показывала предупреждения Gatekeeper, Reaper очищает атрибуты карантина через xattr -cr и заново подписывает измененное приложение временной подписью.

Reaper также закрепляется в системе. Вредоносная программа устанавливает сценарий, который маскируется под обновление программ Google, и регистрирует его через LaunchAgent. Сценарий запускается каждую минуту, отправляет сведения о системе на управляющий сервер и может получить новую полезную нагрузку. После выполнения вредоносный файл удаляется, что дает злоумышленникам более долгий и скрытый доступ к устройству.

SentinelOne предупреждает, что создатели SHub расширяют возможности похитителя данных и превращают его в инструмент удаленного доступа. Защитникам советуют следить за подозрительным сетевым трафиком после запуска редактора сценариев, а также за появлением новых LaunchAgent и файлов, которые маскируются под компоненты доверенных поставщиков.