SHub Reaper: Infostealer macOS yang Menipu Pengguna dengan Menyamar sebagai Layanan Apple, Google, dan Microsoft

Setelah berhasil terpasang, malware ini mengumpulkan berbagai jenis data berharga, termasuk:

• Password yang tersimpan di browser
• Data dan rahasia dari Apple Keychain
• Informasi terkait iCloud
• File dan dokumen lokal
• Data aplikasi dan dompet cryptocurrency

Analisis keamanan menunjukkan bahwa malware keluarga SHub mampu mengekstrak data dari berbagai browser, sesi pesan instan, serta mencoba mendapatkan kunci dompet kripto atau recovery phrase dari aplikasi wallet.

Cara Serangan Multi‑Tahap SHub Reaper

Yang membuat kampanye ini berbahaya adalah pendekatannya: bukan mengeksploitasi bug sistem, melainkan menipu pengguna agar menjalankan malware sendiri.

Rantai infeksi biasanya berlangsung dalam beberapa tahap.

1. Halaman Unduhan atau Update Palsu

Korban pertama kali diarahkan ke halaman unduhan palsu yang tampak seperti situs resmi atau pembaruan software.

Beberapa umpan yang ditemukan peneliti antara lain:

• Installer palsu untuk aplikasi seperti WeChat atau Miro
• Situs yang meniru utilitas populer seperti CleanMyMac
• Halaman yang terlihat seperti alat keamanan atau update macOS dari Apple

Untuk meningkatkan kredibilitas, beberapa payload bahkan dihosting pada domain yang mirip dengan infrastruktur Microsoft (typosquatting).

2. Trik Rekayasa Sosial “ClickFix”

Banyak kampanye SHub menggunakan teknik bernama ClickFix. Dalam skenario ini, pengguna diberi instruksi untuk memperbaiki masalah atau menyelesaikan instalasi dengan menyalin perintah ke Terminal macOS.

Perintah tersebut diklaim akan menginstal utilitas atau memperbaiki error. Namun sebenarnya perintah itu akan mengunduh dan menjalankan malware.

Karena pengguna sendiri yang menjalankan perintah tersebut, beberapa mekanisme peringatan keamanan macOS dapat terlewati.

3. Eksekusi Skrip Berlapis

Setelah perintah dijalankan, serangan biasanya berjalan melalui beberapa tahap skrip, misalnya:

• Perintah curl yang disamarkan mengunduh loader terkompresi
• Loader dijalankan melalui shell seperti zsh
• Tahap berikutnya memanggil AppleScript yang melakukan operasi malware utama

Struktur berlapis ini membantu menyembunyikan aktivitas berbahaya dan membuat analisis keamanan lebih sulit.

Data yang Menjadi Target

Tujuan utama SHub Reaper adalah pencurian data yang bisa dimonetisasi atau digunakan untuk serangan lanjutan.

Target yang diamati meliputi:

• Password browser dan kredensial login
• Data rahasia dari Apple Keychain
• Informasi sinkronisasi iCloud
• File dan dokumen lokal
• Sesi aplikasi pesan seperti Telegram
• Dompet cryptocurrency dan aplikasi wallet

Dalam beberapa kasus, kampanye SHub bahkan memodifikasi aplikasi wallet kripto agar menjadi versi trojan sehingga penyerang dapat mencuri dana atau recovery phrase di kemudian hari.

Teknik Persistensi dan Penghindaran Deteksi

Agar tetap aktif di sistem korban, SHub Reaper dilaporkan memasang LaunchAgent yang menyamar sebagai layanan sah seperti "GoogleUpdate". Mekanisme ini membuat malware berjalan otomatis setiap kali pengguna login.

LaunchAgent adalah metode persistensi umum di macOS karena file konfigurasi tersebut memerintahkan sistem untuk menjalankan program tertentu saat login.

Selain itu, malware ini mencoba menghindari deteksi dengan beberapa cara:

• Menggunakan AppleScript dan proses macOS yang sah agar aktivitasnya terlihat normal
• Memecah serangan menjadi beberapa tahap skrip
• Mengandalkan perintah Terminal yang dijalankan pengguna sendiri

Teknik-teknik ini dapat menyulitkan sistem keamanan berbasis tanda tangan untuk mendeteksi serangan sejak awal.

Mengapa Serangan Ini Bisa Melewati Perlindungan macOS

Apple memiliki beberapa mekanisme keamanan bawaan seperti Gatekeeper dan XProtect yang memindai aplikasi dan file unduhan untuk mendeteksi malware.

Namun serangan seperti SHub Reaper bisa melewati sebagian perlindungan tersebut karena:

• Perintah dijalankan langsung oleh pengguna di Terminal
• Malware diunduh dan dijalankan secara bertahap
• Beberapa komponen menyamar sebagai utilitas sistem yang sah

Ketika eksekusi dimulai dari perintah yang disetujui pengguna, sebagian pemeriksaan keamanan terhadap aplikasi dapat terlewati.

Cara Pengguna Mac Melindungi Diri

Walaupun terlihat canggih, serangan ini sangat bergantung pada rekayasa sosial. Artinya, kebiasaan keamanan sederhana bisa sangat mengurangi risiko.

1. Jangan pernah menyalin perintah Terminal dari situs web.
Jika sebuah halaman meminta Anda menyalin perintah untuk "memperbaiki" sesuatu, kemungkinan besar itu berbahaya.

2. Instal aplikasi hanya dari sumber resmi.
Gunakan Mac App Store, fitur Software Update macOS, atau situs resmi pengembang.

3. Perbarui macOS secara rutin.
Apple terus memperbarui komponen keamanan seperti XProtect dan XProtectRemediator untuk mendeteksi ancaman baru.

4. Amankan akun penting.
Jika Anda curiga pernah menjalankan perintah mencurigakan, segera ubah password dari perangkat yang bersih dan periksa aktivitas akun cloud atau dompet kripto.

5. Gunakan perangkat lunak keamanan tambahan jika perlu.
Solusi endpoint protection dapat membantu mendeteksi aktivitas skrip berbahaya atau mekanisme persistensi.

Tren Lebih Besar: Infostealer macOS Semakin Marak

Kemunculan SHub Reaper mencerminkan tren yang lebih luas dalam dunia keamanan siber. Seiring semakin banyak perusahaan dan profesional menggunakan Mac, penyerang juga semakin aktif mengembangkan malware pencuri kredensial khusus macOS.

Alih‑alih mengeksploitasi celah teknis, banyak kampanye modern mengandalkan manipulasi psikologis dan kepercayaan pengguna.

Dengan kata lain, ancaman terhadap Mac saat ini sering kali tidak "membobol" sistem—melainkan membujuk pengguna agar membukakan pintunya sendiri.