SHub macOSインフォスティーラーの「Reaper」亜種は、偽のセキュリティアップデートメッセージを使用して、機密性の高いブラウザデータ、財務文書、および仮想通貨ウォレットを標的にしています。 **回避戦術** 以前のSHubキャンペーンが「ClickFix」戦術に依存していたのとは異なり、この新しい亜種は`applescript://` URLスキームを利用して、悪意のあるAppleScriptを持つmacOS Script Editorを起動します。これにより、AppleがmacOS Tahoe 26.4で導入したTerminalベースの緩和策を回避できます。これは、潜在的に有害なコマンドの貼り付けと実行をブロックすることを目的としていました。 **配布方法** SentinelOneの研究者によると、被害者は正規に見えるように設計されたドメイン（例：qq-0732gwh22[.]com、mlcrosoft[.]co[.]com、mlroweb[.]com）でホストされているWeChatおよびMiroの偽インストーラーで誘い込まれます。これらのドメインの一部はまだ偽インストーラーを提供していますが、他は正規のMiroウェブサイトにリダイレクトします。 注目すべきは、これらの悪意のあるサイトのWindowsおよびAndroidバージョンのダウンロードボタンは、Dropboxアカウントでホストされている同じ実行可能ファイルを提供することです。 AppleScriptを実行する前に、悪意のあるウェブサイトは、仮想マシンやVPNの存在を確認するために訪問者のデバイスをフィンガープリントします。これは、分析環境を示している可能性があります。また、パスワードマネージャーや仮想通貨ウォレットのインストール済みブラウザ拡張機能を列挙します。収集されたすべてのテレメトリデータは、Telegramボットを介して攻撃者に送信されます。 **感染チェーン** SentinelOneによると、ペイロードを取得するコマンドを含むスクリプトは動的に構築され、ASCIIアート内に隠されています。  被害者が「実行」をクリックすると、スクリプトはXProtectRemediatorを参照する偽のAppleセキュリティアップデートメッセージを表示し、`curl`を使用してシェルスクリプトをダウンロードし、`zsh`を介してサイレントに実行します。 **地理的ターゲティングとデータ窃盗** データ窃盗機能を展開する前に、マルウェアはロシア語のキーボード/入力をチェックします。検出された場合、コマンド＆コントロール（C2）サーバーに`cis_blocked`イベントを報告し、システムに感染することなく終了します。 ホストがロシア語でない場合、Reaperは`osascript`コマンドラインツールを使用して、データ窃盗ルーチンを持つ悪意のあるAppleScriptを取得して実行します。ユーザーにmacOSパスワードを要求し、それを使用してKeychainアイテムにアクセスし、資格情報を復号化し、保護されたデータにアクセスします。インフォスティーラーは以下を標的にします： * Google Chrome、Mozilla Firefox、Brave、Microsoft Edge、Opera、Vivaldi、Arc、およびOrionからのブラウザデータ * MetaMaskおよびPhantomを含む仮想通貨ウォレットブラウザ拡張機能 * 1Password、Bitwarden、およびLastPassを含むパスワードマネージャーブラウザ拡張機能 * Exodus、Atomic Wallet、Ledger Live、Electrum、およびTrezor Suiteを含むデスクトップ仮想通貨ウォレットアプリケーション * iCloudアカウントデータ * Telegramセッションデータ * 開発者関連の設定ファイル **Filegrabberモジュール** Reaperには「Filegrabber」モジュールが含まれており、デスクトップおよびドキュメントフォルダを検索して、機密情報を含む可能性のあるファイルタイプを探します。ターゲットファイルは2MB未満（PNG画像の場合は最大6MB）、合計ボリューム制限は150MBです。  **ウォレットハイジャック** ウォレットアプリケーションが存在する場合、Reaperはそれらのプロセスを終了し、C2サーバーからダウンロードした`app.asar`という名前の正規のコアアプリケーションファイルを悪意のあるものに置き換えることで、それらをハイジャックします。 Gatekeeperアラートを回避するために、SHub Reaperマルウェアは`xattr -cr`でクォーティング属性をクリアし、SentinelOneの研究者が詳述したように、変更されたアプリケーションバンドルに*ad hoc*コード署名を使用します。  **永続性とリモートアクセス** SentinelOneは、マルウェアがGoogleソフトウェアアップデートを偽装したスクリプトをインストールし、LaunchAgentを使用して登録することで永続性を確立すると警告しています。このスクリプトは毎分実行され、システム情報をC2に送信するビーコンとして機能します。スクリプトがペイロードを受信した場合、それを現在のユーザーのコンテキストでデコードして実行し、その後ファイルを削除して、攻撃者にマシンへの拡張アクセスを許可します。 SentinelOneは、SHubオペレーターがインフォスティーラーの機能を拡張して、侵害されたデバイスへのリモートアクセスを含めるようにしており、追加のマルウェアを展開できる可能性があると強調しています。 **侵害の兆候（IOC）** SentinelOneは、この新しいSHub Reaper亜種に対する防御者の保護を支援するために、一連の侵害の兆候（IOC）を提供しました。Script Editor実行後の疑わしいアウトバウンドトラフィックや、信頼されたベンダーの名前空間における新しいLaunchAgentまたは関連ファイルの監視を推奨しています。