SHub Reaper — как новый macOS‑вредонос маскируется под Apple, Google и Microsoft и крадет данные

После установки вредонос может собирать различные типы данных, включая:

• сохраненные пароли и учетные данные браузеров
• записи Apple Keychain
• данные iCloud
• локальные файлы и документы
• информацию о криптовалютных кошельках и их приложениях

Исследования показывают, что вредоносы семейства SHub способны извлекать данные из нескольких браузеров и мессенджеров, а также искать ключи или seed‑фразы криптокошельков.

Как работает многоступенчатая атака

Ключевая особенность кампании — ставка не на эксплуатацию уязвимостей, а на социальную инженерию. Пользователь фактически сам запускает вредонос, следуя инструкциям злоумышленников.

1. Поддельные установщики и обновления

На первом этапе пользователь попадает на фальшивую страницу загрузки или обновления, которая выглядит как легитимный сайт.

Исследователи фиксировали приманки, имитирующие:

• установщики приложений вроде WeChat или Miro
• сайты популярных macOS‑утилит, например CleanMyMac
• страницы обновления или инструменты безопасности Apple

Чтобы усилить доверие, вредоносные файлы иногда размещаются на typo‑squatted доменах, имитирующих инфраструктуру Microsoft.

2. Трюк социальной инженерии ClickFix

Многие атаки используют технику ClickFix. Пользователю сообщают, что для исправления ошибки или завершения установки нужно открыть Terminal и вставить определенную команду.

Команда якобы устанавливает полезную утилиту или обновление, но на самом деле:

• скачивает вредоносный скрипт
• запускает загрузчик
• инициирует установку инфостилера

Поскольку команда выполняется вручную пользователем, многие стандартные предупреждения безопасности macOS не срабатывают.

3. Цепочка из нескольких скриптов

После запуска команда обычно инициирует многоступенчатую загрузку вредоносного кода.

Например:

• обфусцированная команда curl скачивает сжатый загрузчик
• скрипт выполняется через оболочку zsh
• следующий этап запускает AppleScript‑payload, который выполняет основную вредоносную логику

Такая архитектура усложняет анализ и помогает скрыть реальное назначение программы.

Какие данные пытается украсть вредонос

Основная цель SHub Reaper — данные, которые можно быстро монетизировать или использовать для дальнейших атак.

Среди целей:

• сохраненные пароли браузеров
• учетные данные сайтов
• данные Apple Keychain
• информация iCloud
• локальные документы
• сессии мессенджеров (например Telegram)
• криптовалютные кошельки

В некоторых кампаниях вредонос модифицирует приложения криптокошельков, подменяя их троянизированными версиями. Это позволяет злоумышленникам позже получить seed‑фразы или вывести средства.

Закрепление в системе и обход защиты

После проникновения в систему вредонос старается сохранить доступ даже после перезагрузки.

По данным исследователей, SHub Reaper может устанавливать LaunchAgent, маскирующийся под легитимный сервис вроде GoogleUpdate.

LaunchAgent — стандартный механизм macOS, позволяющий запускать программы автоматически при входе пользователя в систему. Именно поэтому он часто используется вредоносами для закрепления.

Чтобы усложнить обнаружение, вредонос также:

• использует AppleScript и системные процессы macOS
• разбивает атаку на несколько стадий
• запускается через команды Terminal

Это помогает вредоносу сливаться с обычной системной активностью и избегать обнаружения.

Почему атака может обходить защиту macOS

В macOS уже встроены механизмы защиты — например Gatekeeper и XProtect, которые проверяют приложения на наличие известных вредоносных сигнатур.

Однако SHub Reaper может обходить часть этих механизмов, потому что:

• пользователь сам запускает команду в Terminal
• вредонос загружается поэтапно
• некоторые компоненты маскируются под системные утилиты

Когда вредонос запускается не как стандартное приложение, а как цепочка скриптов, проверка безопасности может быть обойдена.

Как пользователям Mac защититься

Хотя атака выглядит сложной, ее главный инструмент — обман пользователя. Несколько простых правил сильно снижают риск заражения.

Никогда не вставляйте команды в Terminal с веб‑сайтов.
Если страница предлагает скопировать и вставить команду для установки или «исправления проблемы», почти всегда это признак атаки.

Скачивайте обновления только из официальных источников.
Используйте Mac App Store, встроенное обновление macOS или сайты разработчиков.

Регулярно обновляйте macOS и браузеры.
Apple постоянно обновляет защитные компоненты, включая XProtect и XProtectRemediator.

Проверяйте учетные записи и криптокошельки.
Если вы подозреваете заражение, смените пароли с другого устройства и проверьте финансовые аккаунты.

Используйте надежное защитное ПО.
Инструменты endpoint‑безопасности могут выявить подозрительные скрипты или попытки закрепления в системе.

Общая тенденция: рост инфостилеров для macOS

SHub Reaper — часть более широкой тенденции. По мере роста популярности Mac в корпоративной среде злоумышленники активно создают специализированные инфостилеры для macOS и распространяют их через социальную инженерию.

Главный вывод для пользователей прост: сегодня большинство вредоносов для Mac не взламывают систему напрямую — они убеждают пользователя запустить их самостоятельно.