La variante 'Reaper' del infostealer macOS **SHub** está apuntando a datos sensibles del navegador, documentos financieros y billeteras de criptomonedas utilizando un mensaje falso de actualización de seguridad. **Tácticas de Evasión** A diferencia de campañas anteriores de **SHub** que se basaban en tácticas de "ClickFix", esta nueva variante aprovecha el esquema de URL `applescript://` para lanzar el Editor de Scripts de macOS con un **AppleScript** malicioso. Esto le permite eludir las mitigaciones basadas en Terminal que **Apple** introdujo en macOS Tahoe 26.4, las cuales buscaban bloquear la pegada y ejecución de comandos potencialmente dañinos. **Método de Distribución** Investigadores de **SentinelOne** descubrieron que las víctimas son atraídas con instaladores falsos para **WeChat** y **Miro**, alojados en dominios diseñados para parecer legítimos (por ejemplo, qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com). Si bien algunos de estos dominios todavía sirven instaladores falsos, otros redirigen al sitio web legítimo de **Miro**. Notablemente, los botones de descarga para las versiones de Windows y Android en estos sitios maliciosos sirven el mismo ejecutable alojado en una cuenta de **Dropbox**. Antes de ejecutar el **AppleScript**, los sitios web maliciosos obtienen información del dispositivo del visitante para verificar máquinas virtuales y VPNs, lo que podría indicar entornos de análisis. También enumeran las extensiones de navegador instaladas para gestores de contraseñas y billeteras de criptomonedas. Todos los datos de telemetría recopilados se envían al atacante a través de un bot de **Telegram**. **Cadena de Infección** **SentinelOne** informa que el script que contiene el comando para obtener el payload se construye dinámicamente y se oculta dentro de arte ASCII.  Cuando la víctima hace clic en 'Ejecutar', el script muestra un mensaje falso de actualización de seguridad de **Apple** haciendo referencia a **XProtectRemediator**, descarga un script de shell usando `curl` y lo ejecuta silenciosamente a través de `zsh`. **Objetivo Geográfico y Robo de Datos** Antes de desplegar sus capacidades de robo de datos, el malware verifica si el teclado/entrada es ruso. Si se detecta, informa un evento `cis_blocked` al servidor de comando y control (C2) y termina sin infectar el sistema. Si el host no es ruso, **Reaper** recupera y ejecuta el **AppleScript** malicioso con la rutina de robo de datos utilizando la herramienta de línea de comandos `osascript`. Solicita al usuario su contraseña de macOS, que luego se utiliza para acceder a elementos del Keychain, descifrar credenciales y acceder a datos protegidos. El infostealer apunta a: * Datos del navegador de **Google Chrome**, **Mozilla Firefox**, **Brave**, **Microsoft Edge**, **Opera**, **Vivaldi**, **Arc** y **Orion** * Extensiones de navegador de billeteras de criptomonedas, incluyendo **MetaMask** y **Phantom** * Extensiones de navegador de gestores de contraseñas, incluyendo **1Password**, **Bitwarden** y **LastPass** * Aplicaciones de billeteras de criptomonedas de escritorio, incluyendo **Exodus**, **Atomic Wallet**, **Ledger Live**, **Electrum** y **Trezor Suite** * Datos de cuentas de iCloud * Datos de sesión de Telegram * Archivos de configuración relacionados con desarrolladores **Módulo Filegrabber** **Reaper** incluye un módulo "Filegrabber" que busca en las carpetas de Escritorio y Documentos tipos de archivos que probablemente contengan información sensible. Recopila archivos específicos de menos de 2 MB (o hasta 6 MB para imágenes PNG), con un límite de volumen total de 150 MB.  **Secuestro de Billeteras** Cuando las aplicaciones de billetera están presentes, **Reaper** las secuestra terminando sus procesos y reemplazando el archivo principal legítimo de la aplicación con uno malicioso llamado `app.asar`, descargado del servidor C2. Para evadir las alertas de **Gatekeeper**, el malware **SHub Reaper** borra los atributos de cuarentena con `xattr -cr` y utiliza la firma de código *ad hoc* en el paquete de aplicación modificado, como detallaron los investigadores de **SentinelOne**.  **Persistencia y Acceso Remoto** **SentinelOne** advierte que el malware establece persistencia instalando un script que se hace pasar por la actualización de software de **Google** y registrándolo usando LaunchAgent. Este script se ejecuta cada minuto, actuando como un beacon que envía información del sistema al C2. Si el script recibe un payload, puede decodificarlo y ejecutarlo en el contexto del usuario actual, luego eliminar el archivo, otorgando al atacante acceso extendido a la máquina. **SentinelOne** destaca que el operador de **SHub** está expandiendo las capacidades del infostealer para incluir acceso remoto a dispositivos comprometidos, lo que potencialmente permite la implementación de malware adicional. **Indicadores de Compromiso (IOCs)** **SentinelOne** ha proporcionado un conjunto de indicadores de compromiso para ayudar a los defensores a protegerse contra esta nueva variante de **SHub Reaper**. Recomiendan monitorear el tráfico saliente sospechoso después de la ejecución del Editor de Scripts y nuevos LaunchAgents o archivos relacionados en el espacio de nombres de proveedores confiables.