Une nouvelle version du malware SHub, qui vole des informations sur les systèmes macOS, emploie maintenant une fausse alerte de sécurité Apple pour tromper ses victimes. Cette variante, baptisée Reaper, installe une porte dérobée et dérobe des données sensibles.
Le programme malveillant vole les informations des navigateurs, collecte des documents personnels et cible les applications de portefeuilles de cryptomonnaies. Son mécanisme d’infection a évolué. Il ne repose plus sur des astuces qui incitent les utilisateurs à coller des commandes dans le Terminal. Il exploite désormais le schéma d’URL applescript:// pour lancer l’Éditeur de scripts de macOS avec un script Apple malveillant préchargé.
Cette méthode contourne les protections que Apple a mises en place fin mars avec la mise à jour macOS Tahoe 26.4. Ces protections bloquaient justement le collage et l’exécution de commandes dangereuses dans le Terminal.
Les chercheurs de SentinelOne ont identifié cette nouvelle variante. Ils ont découvert que les utilisateurs sont attirés par des installateurs falsifiés pour les applications WeChat et Miro. Ces faux installateurs sont hébergés sur des domaines conçus pour paraître légitimes, comme qq-0732gwh22[.]com ou mlcrosoft[.]co[.]com. Actuellement, les domaines falsifiant QQ et Microsoft distribuent toujours le faux installateur de WeChat. Le domaine qui imite la plateforme de collaboration visuelle Miro redirige quant à lui vers le site officiel.
Une analyse complémentaire montre que les boutons de téléchargement pour Windows et Android proposent le même fichier exécutable, hébergé sur un compte Dropbox.
Avant de déclencher le script Apple, les sites malveillants analysent l’appareil du visiteur. Ils recherchent la présence de machines virtuelles ou de VPN, qui pourraient indiquer une machine d’analyse, et listent les extensions de navigateur installées, notamment celles des gestionnaires de mots de passe et des portefeuilles de cryptomonnaies. Toutes ces données de télémétrie sont envoyées à l’attaquant via un bot Telegram.
Le rapport de SentinelOne précise que le script qui récupère la charge malveillante est construit dynamiquement et dissimulé sous un art ASCII.
Source : SentinelOne
Lorsque la victime clique sur « Exécuter », le script affiche un faux message de mise à jour de sécurité Apple qui fait référence à XProtectRemediator. Il télécharge ensuite un script shell avec la commande « curl » et l’exécute silencieusement via « zsh ».
Avant de déployer sa logique de vol de données, le malware vérifie le système. Il détecte si la victime utilise un clavier ou une saisie en russe. En cas de correspondance, il signale un événement « cis_blocked » au serveur C2 (command-and-control) et quitte le système sans l’infecter.
Si l’hôte n’est pas russe, Reaper récupère et exécute le script Apple malveillant avec la routine de vol de données. Pour cela, il utilise l’outil en ligne de commande « osascript » intégré à macOS.
Au lancement, le programme demande le mot de passe macOS de l’utilisateur. Ce mot de passe permet ensuite d’accéder aux éléments du Keychain, de déchiffrer des identifiants et d’accéder à des données protégées. L’infostealer cible ensuite les éléments suivants :
- Les données des navigateurs Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc et Orion.
- Les extensions de navigateur pour portefeuilles de cryptomonnaies, comme MetaMask et Phantom.
- Les extensions de navigateur pour gestionnaires de mots de passe, comme 1Password, Bitwarden et LastPass.
- Les applications de bureau pour portefeuilles de cryptomonnaies, comme Exodus, Atomic Wallet, Ledger Live, Electrum et Trezor Suite.
- Les données du compte iCloud.
- Les données de session Telegram.
- Les fichiers de configuration liés au développement.
Reaper inclut aussi un module « Filegrabber » qui fouille les dossiers Bureau et Documents pour trouver des types de fichiers susceptibles de contenir des informations sensibles. Il collecte les fichiers ciblés qui font moins de 2 Mo, ou jusqu’à 6 Mo pour les fichiers image PNG, avec une limite totale fixée à 150 Mo.
Source : SentinelOne
Lorsque des applications de portefeuille sont présentes, le malware les détourne. Il termine leurs processus et remplace le fichier d’application légitime principal par un fichier malveillant nommé « app.asar », téléchargé depuis le serveur C2.
Pour éviter les alertes de Gatekeeper, le logiciel malveillant SHub Reaper « efface les attributs de quarantaine avec la commande xattr -cr et utilise une signature de code ad hoc sur le bundle d’application modifié », expliquent les chercheurs.
Source : SentinelOne
SentinelOne alerte sur le fait que le malware établit une persistance en installant un script qui se fait passer pour la mise à jour logicielle de Google. Il l’enregistre ensuite via LaunchAgent. Ce script s’exécute toutes les minutes et fait office de balise qui envoie des informations système au serveur C2.
Si le script reçoit une charge utile, il peut la décoder et l’exécuter dans le contexte de l’utilisateur actuel, puis supprimer le fichier. Cela donne à l’attaquant un accès prolongé à la machine.
SentinelOne souligne que l’opérateur de SHub étend les capacités de l’infostealer pour inclure un accès à distance aux appareils compromis. Cela pourrait permettre de télécharger d’autres programmes malveillants.
Les chercheurs ont fourni une série d’indicateurs de compromission qui pourraient aider les défenseurs à se protéger contre les comportements malveillants liés à cette nouvelle variante SHub Reaper.
SentinelOne recommande de surveiller le trafic sortant suspect après l’exécution de l’Éditeur de scripts, ou les nouveaux LaunchAgents et fichiers associés dans l’espace de noms des éditeurs de confiance.