SHub Reaper: Stealer de macOS Disfarça-se de Apple, Google e Microsoft em Uma Única Cadeia de Ataques

A SentinelOne identificou uma nova variante do SHub Stealer, apelidada de "Reaper", que utiliza instaladores falsos de WeChat e Miro hospedados no domínio malicioso mlcrosoft[.]co[.]com. O ataque explora o esquema applescript:// URL para lançar o Script Editor com um payload decodificado em base64, bypassando a mitigação ClickFix 26.4 da Apple (Tahoe) e ignorando hosts da região CIS via verificações de localidade em com.apple.HIToolbox.plist. Esta nova versão incorpora uma rotina de Filegrabber, no estilo AMOS, que exfiltra arquivos .docx, .wallet, .key, .json e .rdp em blocos de 70MB para hebsbsbzjsjshduxbs[.]xyz. Ele também sequestra Exodus, Atomic Wallet, Ledger Live e Trezor Suite, substituindo app.asar por payloads ad hoc com code-signing, e instala um backdoor LaunchAgent disfarçado de com.google.keystone.agent.plist que realiza "beacons" a cada 60 segundos para execução remota de código. Defensores devem procurar atividades inesperadas de osascript após a execução do Script Editor, LaunchAgents criados sob namespaces Google ou Apple em ~/Library/Application Support/, e tráfego de saída para os endpoints C2 listados.