La dernière variante d’infostealer SHub macOS abandonne les tactiques ClickFix basées sur le terminal pour l’exécution d’AppleScript, en utilisant de fausses marques Apple, Google et Microsoft pour voler des informations d’identification, des portefeuilles cryptographiques et des données utilisateur sensibles.
Une campagne d’infostealer macOS récemment révélée exploite la confiance des utilisateurs dans certains des plus grands noms de la technologie pour contourner les défenses.
Les chercheurs de SentinelOne ont détaillé une nouvelle variante de la famille de logiciels malveillants SHub, baptisée « Reaper », qui usurpe l’identité d’Apple, Google et Microsoft à différentes étapes d’une chaîne d’attaque unique ciblant les utilisateurs de Mac. La famille des voleurs SHub, identifiée il y a deux ans, utilisait auparavant des variantes reposant sur de faux installateurs et une ingénierie sociale de type ClickFix, incitant souvent les victimes à coller des commandes dans Terminal.
Reaper change de tactique en déplaçant l’exécution dans l’éditeur de script d’Apple, contournant ainsi les protections récemment introduites par Apple pour freiner les attaques basées sur les terminaux. L’objectif final reste cependant le vol d’identifiants, la compromission du portefeuille et l’accès persistant.
« La variante SHub Reaper représente une évolution notable dans les voleurs d’informations macOS en s’éloignant des tactiques d’ingénierie sociale standard qui obligent les victimes à coller manuellement des commandes dans le terminal », a déclaré Jason Soroko, chercheur principal chez Sectigo. « Cette approche abaisse la barrière technique à l’infection et démontre un pivot stratégique vers l’abus des gestionnaires d’applications natifs plutôt que de s’appuyer uniquement sur les erreurs des utilisateurs. »
Les fausses mises à jour Apple exécutent AppleScript caché
L’attaque commence lorsque les utilisateurs sont redirigés vers des sites Web malveillants affichant de fausses alertes de sécurité Apple. Les pages lancent ensuite un flux de travail ClickFix en demandant aux utilisateurs de lancer un correctif supposé via l’éditeur de script, au lieu du terminal.
Plutôt que d’obliger l’utilisateur à copier et coller des commandes shell comme précédemment, Reaper abuse désormais du gestionnaire d’URI applescript:// pour pré-remplir un AppleScript malveillant dans l’éditeur de script. La victime est ensuite socialement incitée, via ClickFix, à exécuter elle-même le script.
Les victimes continuent donc à exécuter elles-mêmes le logiciel malveillant, mais ne peuvent tout simplement plus le voir.
Les chercheurs de SentinelOne ont noté que le logiciel malveillant effectuait également plusieurs contrôles d’environnement et anti-analyse avant de poursuivre son exécution. Une fois actif, le malware déploie des charges utiles supplémentaires et établit la persistance via des LaunchAgents se faisant passer pour des fichiers de fournisseurs légitimes.
« Les défenseurs devraient déplacer la détection macOS des signatures de fichiers vers le comportement, car Reaper s’exécute via des outils Apple légitimes et ne laisse aucune application malveillante évidente à détecter par un scanner », a déclaré Collin Hogue-Spears, directeur principal de la gestion des solutions chez Black Duck. « Script Editor, osascript et LaunchAgent sont tous des logiciels légitimes. »
La tromperie multimarque
Les chercheurs ont observé le logiciel malveillant utilisant la marque associée à plusieurs entreprises technologiques tout au long de la chaîne d’attaque. Les avertissements de sécurité sur le thème d’Apple incitent les victimes à lancer l’exécution, les interfaces liées à Google aident à maintenir la légitimité au cours des étapes ultérieures, tandis que les domaines et l’infrastructure sur le thème de Microsoft sont utilisés ailleurs dans l’opération.
« Reaper utilise de faux installateurs WeChat et Miro comme leurres, mais ce qui ressort, c’est la façon dont la chaîne d’infection change de déguisement à chaque étape », ont déclaré les chercheurs dans un article de blog. « La charge utile peut être hébergée sur un domaine Microsoft victime d’une faute de frappe, exécutée sous le couvert d’une mise à jour de sécurité Apple, et persister à partir d’un faux répertoire de mise à jour de logiciels Google. »
Une fois l’exécution réussie, Reaper commence à collecter les données utilisateur sensibles. SentinelOne a déclaré que le malware cible les informations d’identification du navigateur, les gestionnaires de mots de passe, les données du trousseau, les portefeuilles de crypto-monnaie tels que MetaMask et Phantom, les applications de messagerie et les documents utilisateur.
Protection au-delà du blocage des pâtes de terminal
L’abandon complet par la campagne SHub Reaper du flux d’infection traditionnel centré sur le terminal semble être lié aux récents efforts d’Apple pour réprimer les abus de pâte de terminal.
Dans macOS Tahoe 26.4, Apple a introduit des protections qui affichent des avertissements lorsque les utilisateurs tentent de coller des commandes potentiellement dangereuses dans Terminal, ciblant directement les méthodes d’ingénierie sociale largement utilisées dans les attaques de type ClickFix.
Les chercheurs de SentinelOne ont recommandé aux défenseurs de surveiller les activités inhabituelles de l’éditeur de script et de rechercher où les processus « osascript » ou liés à AppleScript génèrent des processus inattendus ou initient des connexions réseau sortantes. Ils ont également conseillé aux organisations de surveiller les mécanismes de persistance suspects de LaunchAgent se faisant passer pour des composants Apple, Google ou Microsoft légitimes.
De plus, Soroko a suggéré des protections basées sur le réseau. « Les équipes de sécurité devraient mettre en œuvre un filtrage Web strict pour intercepter les domaines contenant des fautes de frappe et surveiller les invocations anormales de l’éditeur de script macOS déclenchées directement par les navigateurs Web », a-t-il déclaré.
