A variante 'Reaper' do infostealer **SHub** para macOS está visando dados sensíveis de navegadores, documentos financeiros e carteiras de criptomoedas usando uma mensagem falsa de atualização de segurança. **Táticas de Evasão** Ao contrário de campanhas anteriores do **SHub** que dependiam de táticas "ClickFix", esta nova variante utiliza o esquema de URL `applescript://` para iniciar o macOS Script Editor com um **AppleScript** malicioso. Isso permite que ela contorne as mitigações baseadas no Terminal que a **Apple** introduziu no macOS Tahoe 26.4, que visavam bloquear a colagem e execução de comandos potencialmente prejudiciais. **Método de Distribuição** Pesquisadores da **SentinelOne** descobriram que as vítimas são atraídas com instaladores falsos para **WeChat** e **Miro**, hospedados em domínios projetados para parecer legítimos (por exemplo, qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com). Embora alguns desses domínios ainda sirvam instaladores falsos, outros redirecionam para o site legítimo da **Miro**. Notavelmente, os botões de download para as versões Windows e Android nesses sites maliciosos servem o mesmo executável hospedado em uma conta do **Dropbox**. Antes de executar o **AppleScript**, os sites maliciosos fazem o fingerprint do dispositivo do visitante para verificar máquinas virtuais e VPNs, potencialmente indicando ambientes de análise. Eles também enumeram extensões de navegador instaladas para gerenciadores de senhas e carteiras de criptomoedas. Todos os dados de telemetria coletados são enviados ao atacante via um bot do **Telegram**. **Cadeia de Infecção** A **SentinelOne** relata que o script contendo o comando para buscar o payload é construído dinamicamente e oculto dentro de arte ASCII.  Quando a vítima clica em ‘Executar’, o script exibe uma mensagem falsa de atualização de segurança da **Apple** referenciando **XProtectRemediator**, baixa um script shell usando `curl` e o executa silenciosamente via `zsh`. **Segmentação Geográfica e Roubo de Dados** Antes de implantar suas capacidades de roubo de dados, o malware verifica a existência de um teclado/entrada em russo. Se detectado, ele reporta um evento `cis_blocked` para o servidor de comando e controle (C2) e termina sem infectar o sistema. Se o host não for russo, o **Reaper** recupera e executa o **AppleScript** malicioso com a rotina de roubo de dados usando a ferramenta de linha de comando `osascript`. Ele solicita ao usuário sua senha do macOS, que é então usada para acessar itens do Keychain, descriptografar credenciais e acessar dados protegidos. O infostealer visa: * Dados de navegadores do **Google Chrome**, **Mozilla Firefox**, **Brave**, **Microsoft Edge**, **Opera**, **Vivaldi**, **Arc** e **Orion** * Extensões de navegador de carteiras de criptomoedas, incluindo **MetaMask** e **Phantom** * Extensões de navegador de gerenciadores de senhas, incluindo **1Password**, **Bitwarden** e **LastPass** * Aplicações de carteiras de criptomoedas desktop, incluindo **Exodus**, **Atomic Wallet**, **Ledger Live**, **Electrum** e **Trezor Suite** * Dados de conta iCloud * Dados de sessão do Telegram * Arquivos de configuração relacionados a desenvolvedores **Módulo Filegrabber** O **Reaper** inclui um módulo “Filegrabber” que procura nas pastas Desktop e Documentos por tipos de arquivo que provavelmente contêm informações sensíveis. Ele coleta arquivos direcionados com menos de 2MB (ou até 6MB para imagens PNG), com um limite de volume total de 150MB.  **Sequestro de Carteiras** Quando aplicações de carteira estão presentes, o **Reaper** as sequestra terminando seus processos e substituindo o arquivo principal legítimo da aplicação por um malicioso chamado `app.asar`, baixado do servidor C2. Para evadir alertas do **Gatekeeper**, o malware **SHub Reaper** limpa os atributos de quarentena com `xattr -cr` e usa assinatura de código *ad hoc* no pacote de aplicação modificado, conforme detalhado pelos pesquisadores da **SentinelOne**.  **Persistência e Acesso Remoto** A **SentinelOne** alerta que o malware estabelece persistência instalando um script que se disfarça de atualização de software do **Google** e o registra usando LaunchAgent. Este script é executado a cada minuto, agindo como um beacon que envia informações do sistema para o C2. Se o script receber um payload, ele pode decodificá-lo e executá-lo no contexto do usuário atual, e então excluir o arquivo, concedendo ao atacante acesso estendido à máquina. A **SentinelOne** destaca que o operador do **SHub** está expandindo as capacidades do infostealer para incluir acesso remoto a dispositivos comprometidos, potencialmente permitindo a implantação de malware adicional. **Indicadores de Comprometimento (IOCs)** A **SentinelOne** forneceu um conjunto de indicadores de comprometimento para auxiliar os defensores na proteção contra esta nova variante do **SHub Reaper**. Eles recomendam monitorar tráfego de saída suspeito após a execução do Script Editor e novos LaunchAgents ou arquivos relacionados no namespace de fornecedores confiáveis.