Pesquisadores da empresa de segurança SentinelOne descobriram e detalharam recentemente o SHub Reaper, uma nova variante sofisticada de uma família de malwares do tipo infostealer (ladrão de informações) projetada especificamente para atacar usuários de macOS: a SHub Stealer.
O SHub Reaper foi projetado para se aproveitar de ferramentas e processos nativos do macOS para realizar atividades maliciosas — o que envolve carregar código malicioso via AppleScript, se disfarçar de atualizações de segurança (usando mensagens falsas) e contornar proteções introduzidas pela Apple no sistema.
Posts relacionados
- Empresa descobre dois malwares não detectáveis por antivírus no macOS
- Atacantes conseguem contornar medida contra malwares do macOS 26.4
- Malware OSX/Amos modifica apps Electron para se infiltrar no macOS
Visando extrair dados do Acesso às Chaves (Keychain Access) do macOS, bem como de contas do iCloud, o malware se disfarça de três grandes empresas em seu ciclo de ataque — começando pelo processo de isca para atrair os usuários, que envolve imitar sites da Microsoft oferecendo instaladores falsos.
Após “capturar” a máquina do usuário, o malware disfarça o roubo de dados como uma atualização de segurança da Apple e, feito isso, cria pastas e processos que imitam o serviço de atualização do Google dentro da Biblioteca do usuário para garantir persistência na máquina.
Além de dados de senhas e arquivos do iCloud, o SHub Reaper também tem como alvo dados de navegadores, extensões relacionadas a carteiras de criptomoedas (ou apps de criptomoedas em si) e até mesmo arquivos pessoais locais — onde podem estar armazenados arquivos financeiros confidenciais.
Para se proteger, os pesquisadores recomendam evitar baixar instaladores de sites não oficiais e desconfiar de solicitações inesperadas para abrir o Editor de Scripts do sistema, sempre se atentando ao fato de que a Apple não costuma usá-los para instalar atualizações de segurança.
via AppleInsider