Foto: BleepingComputer
Istraživači SentinelOnea otkrili su novu varijantu macOS infostealera SHub, koju su nazvali Reaper. Umjesto ranijih taktika koje su korisnike navodile da u Terminal zalijepe i pokrenu naredbe, nova kampanja koristi AppleScript kako bi prikazala lažnu poruku o sigurnosnom ažuriranju i na računalo instalirala stražnja vrata.
Prema navodima SentinelOnea, Reaper krade osjetljive podatke iz preglednika, prikuplja dokumente i datoteke koje mogu sadržavati financijske informacije te napada aplikacije za kriptovalute. Kampanja je, kako navode istraživači, korisnike mamila lažnim instalacijskim paketima za aplikacije WeChat i Miro, smještenima na domenama koje izgledaju legitimno, uključujući qq-0732gwh22[.]com, mlcrosoft[.]co[.]com i mlroweb[.]com. BleepingComputer je zabilježio i da se gumbi za preuzimanje za Windows i Android oslanjaju na isti izvršni program hostiran na Dropbox računu.
Nova varijanta oslanja se na applescript:// URL shemu kako bi otvorila macOS Script Editor s unaprijed učitanim zlonamjernim AppleScriptom. Taj pristup zaobilazi mitigacije koje je Apple uveo krajem ožujka s macOS Tahoe 26.4, a koje su blokirale lijepljenje i pokretanje potencijalno štetnih naredbi u Terminalu. SentinelOne navodi i da zlonamjerne stranice prije pokretanja AppleScripta provjeravaju koristi li posjetitelj virtualni stroj ili VPN te popisuju instalirana proširenja preglednika, osobito ona za upravljanje lozinkama i kriptovalutnim novčanicima; svi se ti telemetrijski podaci šalju napadaču putem Telegram bota.
Kad korisnik klikne na opciju Run, skripta prikazuje lažnu poruku o Appleovu sigurnosnom ažuriranju s referencom na XProtectRemediator, preuzima shell skriptu pomoću naredbe curl i zatim je tiho izvršava preko zsh-a. SentinelOne navodi i da se prije glavne krađe podataka provjerava koristi li sustav ruski raspored tipkovnice ili unos. Ako se pronađe podudaranje, malware prijavljuje događaj cis_blocked na poslužitelj za zapovijedanje i upravljanje te izlazi bez zaraze sustava. Ako host nije povezan s ruskim unosom, Reaper pokreće zlonamjerni AppleScript pomoću alata osascript ugrađenog u macOS.
Nakon pokretanja, Reaper traži korisničku lozinku za macOS, koju potom može upotrijebiti za pristup Keychain stavkama, dešifriranje vjerodajnica i pristup zaštićenim podacima. Uz to, s Desktop i Documents mapa traži vrste datoteka koje mogu sadržavati osjetljive informacije. SentinelOne navodi da prikuplja ciljane datoteke manje od 2 MB, odnosno do 6 MB za PNG slike, uz ukupno ograničenje od 150 MB. Ako su prisutne aplikacije za novčanike, malware ih prekida i zamjenjuje legitimnu glavnu aplikacijsku datoteku zlonamjernom datotekom app.asar preuzetom s C2 poslužitelja.
Istraživači navode i da se radi o pokušaju izbjegavanja Gatekeeper upozorenja: malware uklanja quarantine atribute pomoću xattr -cr i koristi ad hoc code signing na izmijenjenom paketu aplikacije. Za postojanost na sustavu instalira skriptu koja se predstavlja kao Google software update i registrira je preko LaunchAgenta. Skripta se izvršava svake minute i služi kao beacon koji šalje podatke o sustavu prema C2 infrastrukturi. Ako dobije dodatni payload, može ga dekodirati i izvršiti u kontekstu trenutačnog korisnika, a zatim obrisati datoteku, čime napadač dobiva produljeni pristup računalu.
Vezane vijesti
