La variante 'Reaper' du logiciel malveillant voleur d'informations **SHub** pour macOS cible des données sensibles de navigateur, des documents financiers et des portefeuilles de cryptomonnaies à l'aide d'un faux message de mise à jour de sécurité. **Tactiques d'évasion** Contrairement aux campagnes précédentes de **SHub** qui s'appuyaient sur des tactiques de "ClickFix", cette nouvelle variante exploite le schéma d'URL `applescript://` pour lancer l'Éditeur de scripts macOS avec un **AppleScript** malveillant. Cela lui permet de contourner les mesures d'atténuation basées sur le Terminal qu'**Apple** a introduites dans macOS Tahoe 26.4, qui visaient à bloquer le collage et l'exécution de commandes potentiellement dangereuses. **Méthode de distribution** Les chercheurs de **SentinelOne** ont découvert que les victimes sont attirées par de faux installateurs pour **WeChat** et **Miro**, hébergés sur des domaines conçus pour paraître légitimes (par exemple, qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com). Bien que certains de ces domaines servent encore de faux installateurs, d'autres redirigent vers le site Web légitime de **Miro**. Notamment, les boutons de téléchargement pour les versions Windows et Android sur ces sites malveillants servent le même exécutable hébergé sur un compte **Dropbox**. Avant d'exécuter l'**AppleScript**, les sites Web malveillants identifient l'appareil du visiteur pour vérifier la présence de machines virtuelles et de VPN, indiquant potentiellement des environnements d'analyse. Ils énumèrent également les extensions de navigateur installées pour les gestionnaires de mots de passe et les portefeuilles de cryptomonnaies. Toutes les données de télémétrie collectées sont envoyées à l'attaquant via un bot **Telegram**. **Chaîne d'infection** **SentinelOne** rapporte que le script contenant la commande pour récupérer la charge utile est construit dynamiquement et caché dans de l'art ASCII.  Lorsque la victime clique sur « Exécuter », le script affiche un faux message de mise à jour de sécurité **Apple** faisant référence à **XProtectRemediator**, télécharge un script shell à l'aide de `curl` et l'exécute silencieusement via `zsh`. **Ciblage géographique et vol de données** Avant de déployer ses capacités de vol de données, le logiciel malveillant vérifie la présence d'un clavier/une saisie russe. Si détecté, il signale un événement `cis_blocked` au serveur de commande et de contrôle (C2) et se termine sans infecter le système. Si l'hôte n'est pas russe, **Reaper** récupère et exécute l'**AppleScript** malveillant avec la routine de vol de données à l'aide de l'outil en ligne de commande `osascript`. Il invite l'utilisateur à saisir son mot de passe macOS, qui est ensuite utilisé pour accéder aux éléments du trousseau, déchiffrer les identifiants et accéder aux données protégées. Le logiciel malveillant cible : * Données de navigateur de **Google Chrome**, **Mozilla Firefox**, **Brave**, **Microsoft Edge**, **Opera**, **Vivaldi**, **Arc**, et **Orion** * Extensions de navigateur de portefeuille de cryptomonnaies, y compris **MetaMask** et **Phantom** * Extensions de navigateur de gestionnaire de mots de passe, y compris **1Password**, **Bitwarden**, et **LastPass** * Applications de portefeuille de cryptomonnaies de bureau, y compris **Exodus**, **Atomic Wallet**, **Ledger Live**, **Electrum**, et **Trezor Suite** * Données de compte iCloud * Données de session Telegram * Fichiers de configuration liés au développement **Module Filegrabber** **Reaper** comprend un module « Filegrabber » qui recherche dans les dossiers Bureau et Documents les types de fichiers susceptibles de contenir des informations sensibles. Il collecte les fichiers ciblés de moins de 2 Mo (ou jusqu'à 6 Mo pour les images PNG), avec une limite de volume totale de 150 Mo.  **Détournement de portefeuille** Lorsque des applications de portefeuille sont présentes, **Reaper** les détourne en terminant leurs processus et en remplaçant le fichier d'application principal légitime par un fichier malveillant nommé `app.asar`, téléchargé depuis le serveur C2. Pour échapper aux alertes **Gatekeeper**, le logiciel malveillant **SHub Reaper** efface les attributs de quarantaine avec `xattr -cr` et utilise la signature de code *ad hoc* sur le bundle d'application modifié, comme détaillé par les chercheurs de **SentinelOne**.  **Persistance et accès à distance** **SentinelOne** avertit que le logiciel malveillant établit une persistance en installant un script qui usurpe la mise à jour logicielle **Google** et l'enregistre à l'aide de LaunchAgent. Ce script s'exécute chaque minute, agissant comme une balise qui envoie des informations système au C2. Si le script reçoit une charge utile, il peut la décoder et l'exécuter dans le contexte de l'utilisateur actuel, puis supprimer le fichier, accordant à l'attaquant un accès étendu à la machine. **SentinelOne** souligne que l'opérateur de **SHub** étend les capacités du logiciel malveillant voleur d'informations pour inclure l'accès à distance aux appareils compromis, permettant potentiellement le déploiement de logiciels malveillants supplémentaires. **Indicateurs de compromission (IOC)** **SentinelOne** a fourni un ensemble d'indicateurs de compromission pour aider les défenseurs à se protéger contre cette nouvelle variante de **SHub Reaper**. Ils recommandent de surveiller le trafic sortant suspect après l'exécution de l'Éditeur de scripts et les nouveaux LaunchAgents ou fichiers associés dans l'espace de noms des fournisseurs de confiance.