O malware SHub Reaper mostra que o mito da invulnerabilidade do macOS está cada vez mais distante da realidade. A nova variante do conhecido infostealer SHub passou a usar técnicas avançadas de engenharia social para convencer usuários de Macs a executarem comandos perigosos sem perceber que estão entregando acesso ao sistema.
Diferente de campanhas antigas que dependiam do uso manual do Terminal, a variante Reaper explora esquemas de URL maliciosos para abrir o AppleScript automaticamente e contornar parte das proteções do macOS. O resultado é uma operação silenciosa que pode roubar senhas, carteiras de criptomoedas, dados de navegadores e até preparar o computador para futuros ataques remotos.
O avanço dessa ameaça preocupa principalmente investidores de criptomoedas, profissionais que armazenam credenciais sensíveis no Mac e usuários que confiam excessivamente em falsas mensagens de atualização da Apple. O ataque também evidencia como criminosos estão adaptando seus malwares especificamente para o ecossistema da Apple, usando técnicas cada vez mais sofisticadas para escapar das defesas do sistema.
Como funciona o infostealer SHub Reaper
O funcionamento do malware SHub Reaper representa uma evolução importante das campanhas anteriores observadas contra o macOS. Em versões mais antigas, os criminosos utilizavam a técnica conhecida como ClickFix, induzindo o usuário a copiar e executar comandos diretamente no Terminal.
Agora, o processo ficou muito mais convincente e perigoso.
A nova abordagem utiliza o esquema de URL applescript://, permitindo que páginas maliciosas acionem automaticamente scripts no sistema. Em vez de pedir ao usuário para abrir o Terminal, o golpe direciona a vítima para uma falsa atualização ou correção do sistema, que abre o Editor de Scripts do macOS.
Na prática, a vítima acredita estar autorizando uma atualização legítima da Apple ou resolvendo um problema do navegador. Enquanto isso, o script executa comandos ocultos usando osascript, iniciando a cadeia de infecção.
Esse método reduz a desconfiança do usuário porque evita a aparência técnica intimidadora do Terminal. O ataque parece mais “nativo” do macOS, aumentando significativamente a taxa de sucesso da campanha.
Imagem: SentinelOne
A armadilha dos sites falsos
Os operadores do malware SHub Reaper utilizam páginas falsas extremamente convincentes para atrair vítimas. Entre os alvos simulados estão serviços populares como WeChat, Miro e plataformas da Microsoft.
Os domínios fraudulentos imitam interfaces legítimas e frequentemente exibem mensagens relacionadas a:
- Atualizações críticas do navegador
- Correções de compatibilidade
- Verificações de segurança
- Falhas falsas de reprodução de vídeo
- Alertas simulando recursos bloqueados
Ao clicar na suposta correção, o usuário acaba acionando o esquema malicioso baseado em AppleScript.
O detalhe mais perigoso é que muitos desses sites usam certificados HTTPS válidos e layouts praticamente idênticos aos serviços originais. Isso reduz os sinais visuais de alerta que normalmente ajudariam o usuário a identificar um golpe.
Além disso, os criminosos distribuem os links maliciosos por anúncios, redes sociais e campanhas direcionadas a usuários de criptomoedas e ambientes corporativos.
Evasão de segurança e o bypass russo
Outro aspecto sofisticado do infostealer SHub é o conjunto de técnicas de evasão utilizadas para dificultar análises de segurança.
Antes de executar a carga maliciosa, o malware verifica se está rodando em:
- Máquinas virtuais
- Ambientes de sandbox
- Sistemas com VPN ativa
- Ferramentas de análise forense
Caso detecte um ambiente suspeito, o malware interrompe sua execução para evitar ser estudado por pesquisadores.
Os operadores também utilizam blocos de arte ASCII para ocultar partes do código malicioso, dificultando análises automatizadas. Embora pareça apenas decoração visual, o conteúdo esconde trechos importantes da lógica de execução.
Outro detalhe curioso é a exclusão deliberada de sistemas com layout de teclado russo. Se o malware detectar configurações regionais relacionadas à Rússia, ele encerra automaticamente suas atividades.
Esse comportamento é frequentemente associado a grupos cibercriminosos do Leste Europeu que evitam atacar sistemas locais para reduzir conflitos com autoridades regionais.
O roubo de dados e o sequestro de carteiras
O principal objetivo do malware SHub Reaper é o roubo de informações sensíveis.
Após a infecção, o malware começa coletando dados armazenados em navegadores populares do macOS, incluindo:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Arc Browser
- Brave
- Opera
Entre os dados roubados estão:
- Cookies de autenticação
- Credenciais salvas
- Histórico de navegação
- Tokens de sessão
- Informações de preenchimento automático
O ataque também mira diretamente gerenciadores de senhas como 1Password e Bitwarden, ampliando drasticamente o impacto da invasão.
Além disso, a variante Reaper possui um módulo chamado Filegrabber, responsável por procurar documentos confidenciais armazenados localmente. O malware busca arquivos com tamanho de até 6 MB contendo:
- Chaves privadas
- Seed phrases
- Documentos financeiros
- Arquivos PDF
- Planilhas
- Dados corporativos
O foco em criptomoedas é particularmente agressivo.
O malware tenta sequestrar aplicativos de carteiras digitais substituindo componentes legítimos por versões comprometidas. Em muitos casos, ele altera o arquivo app.asar utilizado por aplicações baseadas em Electron.
Ao modificar esse arquivo, os criminosos conseguem inserir código malicioso diretamente dentro da carteira digital instalada pela vítima.
Depois da alteração, o malware executa o comando xattr -cr para remover atributos de quarentena e reduzir alertas do sistema operacional. Isso ajuda a manter a aplicação aparentemente legítima enquanto o código malicioso opera em segundo plano.
Carteiras associadas a extensões de navegador e aplicativos desktop, incluindo soluções usadas para armazenamento de ativos digitais, tornam-se alvos prioritários da campanha.
O impacto pode ser devastador. Com acesso às credenciais corretas, os criminosos conseguem transferir criptomoedas rapidamente, dificultando qualquer recuperação posterior dos ativos roubados.
Persistência no sistema e como se proteger
Após a instalação, o malware SHub Reaper busca persistência no macOS para continuar ativo mesmo após reinicializações.
Uma das técnicas observadas envolve a criação de um falso atualizador do Google registrado como LaunchAgent. Esse componente é carregado automaticamente durante o login do usuário e permite que os criminosos mantenham comunicação contínua com o dispositivo infectado.
Na prática, isso transforma o computador comprometido em uma potencial porta de entrada para ataques futuros, espionagem ou instalação de cargas adicionais de malware.
Apesar da sofisticação da ameaça, algumas medidas ajudam significativamente na proteção contra esse tipo de ataque.
A principal recomendação é desconfiar de páginas que solicitam a abertura inesperada do Editor de Scripts ou exibem prompts relacionados ao AppleScript sem contexto legítimo.
Também é fundamental evitar fornecer a senha de administrador do macOS para scripts desconhecidos ou atualizações exibidas fora dos canais oficiais da Apple.
Outras boas práticas incluem:
- Manter o macOS sempre atualizado
- Utilizar antivírus com proteção comportamental
- Monitorar itens suspeitos em LaunchAgents
- Revisar permissões concedidas a aplicativos
- Evitar instalar softwares fora de fontes confiáveis
- Usar autenticação multifator em contas importantes
Usuários de criptomoedas devem adotar atenção redobrada. O ideal é armazenar ativos em carteiras de hardware e evitar manter seed phrases ou chaves privadas salvas em arquivos locais no computador.
O crescimento de ameaças como o infostealer SHub deixa claro que o macOS já é um alvo consolidado para campanhas avançadas de cibercrime. A falsa sensação de segurança pode ser justamente o fator que facilita novas infecções.
