SHub ruba i dati e installa una backdoor su macOS

I ricercatori di SentinelOne hanno identificato la nuova variante Reaper del malware SHub per macOS che sfrutta un metodo alternativo per ingannare l’utente e aggirare l’avviso di sicurezza introdotto da Apple a fine marzo. Le funzionalità principali sono quelli di infostealer, ma può anche installare una backdoor per mantenere la persistenza.

Descrizione della variante Reaper di SHub

Gli attacchi effettuati con le precedenti versioni di SHub erano basate sulla tecnica ClickFix. Il malware veniva installato sul Mac quando l’utente eseguiva un comando nel Terminale. La nuova variante sfrutta invece AppleScript per aggirare la protezione di macOS Tahoe 26.4.

La catena di infezione inizia quando l’utente clicca sul link per scaricare gli installer fasulli di WeChat e Miro. Viene in realtà aperto lo Script Editor di macOS con un Apple Script che scarica ed esegue SHub. L’infostealer raccoglie numerose informazioni sul Mac che vengono inviate ai cybercriminali tramite bot Telegram.

Il malware chiede quindi la password all’ignara vittima (usata ad esempio per accedere al Keychain) e avvia lo “scraping” dei dati da tutti i principali browser, dalle estensioni per wallet di criptovalute e password manager, dalle app desktop dei wallet, dall’account iCloud e dalle sessioni Telegram.

Un modulo dedicato di SHub consente di cercare determinati file nelle cartelle Desktop e Documenti (principalmente documenti che possono contenere informazioni finanziarie). Se presenti, le app dei wallet vengono sostituite con versioni modificate che inviano le criptovalute ai cybercriminali.

La variante Reaper crea infine una directory che sembra correlata ad un aggiornamento software di Google. Al suo interno viene copiato uno script che consente l’accesso remoto (persistenza). Funziona quindi come una backdoor. Gli utenti devono prestare attenzione ai siti che ospitano presunti installer di software noti.