Специалисты по кибербезопасности обнаружили новый инфостилер для macOS под названием SHub Reaper. Программа маскируется под легитимные приложения Apple, чтобы незаметно извлекать пароли, данные криптокошельков и конфиденциальные файлы пользователей. Для обхода стандартных антивирусных сканеров вирус использует встроенный инструмент AppleScript и подлинные системные процессы операционной системы, в том числе обходя встроенную защиту XProtect.
По данным компании SentinelOne, Reaper — это усложнённая версия семейства вредоносных программ SHub Stealer, которое активно применяется в криминальных атаках на macOS последние два года. Ранние версии полагались на фейковые установщики и методы социальной инженерии, включая тактику обмана ClickFix, заставляющую пользователя вводить опасные команды в «Терминале». Теперь злоумышленники изменили подход и перенесли процесс заражения в утилиту Script Editor через схему URL-адресов applescript://. Это позволяет им обходить новые защитные механизмы против терминальных угроз, внедрённые Apple в macOS Tahoe 26.4.
Многоступенчатая маскировка
На разных этапах заражения вирус использует различные прикрытия. Жертвы могут случайно скачать поддельные инсталляторы таких популярных приложений, как WeChat или Miro, с доменов, маскирующихся под инфраструктуру Microsoft. На последующих этапах атака имитирует системные обновления Apple, а файлы для закрепления в системе прячет в директориях, похожих на компоненты Google Software Update.
Атака начинается с вредоносных сайтов, которые предварительно детально анализируют посетителя. Они собирают системные данные, информацию об использовании WebGL, VPN, расширениях браузера, а также ищут признаки использования виртуальных машин или инструментов для анализа кода. Скрипты нацелены на поиск популярных менеджеров паролей (1Password, Bitwarden, LastPass) и расширений криптокошельков (MetaMask, Phantom). Сайты даже оснащены защитой от анализа: они блокируют горячие клавиши, например F12, и запускают циклы отладки, чтобы помешать исследователям перехватить код.
Когда пользователь нажимает «Запустить» в Script Editor, вредонос демонстрирует фейковое окно безопасности XProtect Remediator, параллельно выполняя скрытые системные команды. Чтобы скрыть свои истинные действия, хакеры добавляют в AppleScript отвлекающий текст и ASCII-графику, буквально выталкивая опасный код за пределы видимой области окна. Позже программа запрашивает системный пароль macOS, перехватывает его и выдаёт ложную ошибку совместимости, чтобы усыпить бдительность после кражи данных.
Что именно крадёт SHub Reaper?
Хотя кража учётных данных и криптокошельков остаётся главной целью, вирус атакует широкий спектр программного обеспечения. В зоне риска находятся браузеры Firefox, Brave, Opera, Vivaldi, Arc и Orion, а также настольные версии кошельков Atomic, Ledger, Electrum и Trezor Suite. Программа извлекает данные из системной «Связки ключей», информацию из мессенджера Telegram и файлы разработчиков.
В последней версии появился алгоритм кражи документов, напоминающий небезызвестный вирус AMOS. Вредонос сканирует папки «Рабочий стол» и «Документы» в поисках финансовых отчётов, таблиц, файлов JSON, конфигураций удалённого доступа и ключей от кошельков. Файлы весом более 6 МБ (например, тяжёлые PNG-изображения) игнорируются, а общий объём украденных данных строго ограничен 150 МБ. Вся информация сегментами отправляется на командные серверы злоумышленников.
Кроме того, вирус модифицирует сами приложения криптокошельков. Он принудительно завершает их активные процессы и подменяет внутренние ресурсы на контролируемые хакерами .asar-файлы. Затем снимаются системные атрибуты карантина, и с помощью импровизированной подписи кода изменённые приложения продолжают работать в macOS как ни в чём не бывало.
Опасность закрепления в системе
Одно из главных технологических отличий варианта Reaper — механизм постоянного присутствия в операционной системе. Вирус создаёт агент запуска (LaunchAgent), маскируясь под фоновую службу инфраструктуры Google в пользовательской библиотеке. Файл com.google.ke.agent.plist запускается каждые 60 секунд и тщательно имитирует легитимную службу обновления Google Keystone, делая её невидимой при беглом осмотре системы.
Это позволяет удалённым серверам беспрепятственно отправлять новые команды и скрытно управлять заражённым устройством с правами текущего пользователя. В отличие от старых инфостилеров для Mac, которые просто воровали доступные данные и исчезали, Reaper создаёт полноценный плацдарм для будущих атак и поддержания постоянного удалённого доступа.
Как защититься
Эксперты SentinelOne настоятельно рекомендуют пользователям не запускать скрипты и инсталляторы с неизвестных веб-сайтов, особенно те, которые утверждают, что системе необходимо «ручное обновление безопасности». Следует помнить, что Apple никогда не просит пользователей открывать утилиту Script Editor и нажимать кнопку «Запустить» для установки официальных апдейтов.
Скачивать программное обеспечение стоит исключительно из Mac App Store или с официальных подтверждённых сайтов разработчиков, избегая ссылок из рекламы и социальных сетей. Любой неожиданный запрос пароля администратора при установке, особенно сопровождаемый неясными ошибками, должен стать немедленным сигналом тревоги.
