Пользователей Mac атакует новый вирус, маскирующийся под официальные инструменты Apple и обходящий стороной устройства с русским языком

Компания SentinelOne обнаружила новый вариант macOS-стилера SHub под названием Reaper, который маскируется под установщики WeChat и Miro и охотится за паролями, криптокошельками и Telegram-сессиями пользователей Mac. В процессе заражения вредонос подсовывает поддельные элементы, похожие на инструменты Apple и Google, чтобы усыпить бдительность жертвы. Цели атаки сводятся к краже учётных данных, файлов, связок ключей и средств из криптокошельков.

Распространение строится на тайпсквоттинге доменов и поддельных сайтах популярных приложений. Пользователь ищет WeChat или Miro, попадает на клон официальной страницы, скачивает установщик и сам запускает цепочку заражения. Для Mac-аудитории схема особенно болезненная: многие до сих пор считают macOS зоной, куда серьёзные стилеры почти не залетают.

Reaper ломает это ощущение многоступенчатой маскировкой. После запуска скрипт показывает поддельное сообщение об обновлении со ссылкой на XProtectRemediator, реальный инструмент Apple для удаления вредоносного ПО на macOS. Атакующие играют на доверии пользователя к системным механизмам: имя должно прозвучать знакомо и снять тревогу.

Для постоянного присутствия в системе вредонос задействует имена из экосистемы Google:

• размещает бэкдор в поддельном каталоге GoogleUpdate;
• регистрирует LaunchAgent с именем com.google.keystone.agent.plist;
• опирается на ассоциацию с Google Keystone, реальным механизмом обновлений Google;
• использует знакомую структуру путей, чтобы не выделяться на фоне обычных автозапусков.

Маскировка выбрана осознанно. Операторы Reaper понимают поведение пользователей macOS, поэтому не прячут файлы в случайные папки, а берут узнаваемые имена из мира Apple и Google. XProtectRemediator успокаивает на запуске, GoogleUpdate и Keystone снимают подозрения при беглом просмотре LaunchAgents.

Интересно, что вся легенда Reaper построена не на технических трюках, а на узнавании, человек видит привычные слова Apple и Google и сам отпускает тормоза.

Основная функция Reaper — кража информации. Вредонос собирает данные из веб-браузеров, криптокошельков и приложений, где могут лежать финансы или рабочая переписка. Под удар попадают учётки браузера, login keychain, сессии Telegram и документы из папок «Рабочий стол» и «Документы».

Отдельный фокус сделан на расширения и кошельки, по которым видно финансовую мотивацию операторов:

• менеджеры паролей 1Password, Bitwarden и LastPass;
• криптокошельки MetaMask и Phantom;
• сохранённые сессии браузера;
• seed-фразы и токены подписей транзакций;
• браузерные cookies и хранилища расширений.

Доступ к этим объектам быстро превращается в прямую кражу денег. Менеджер паролей даёт ключи ко всему остальному ландшафту жертвы, криптокошелёк позволяет вытащить активы за один шаг, а сохранённые сессии открывают путь к корпоративным сервисам без повторной авторизации.

Кража Telegram-сессий имеет отдельный вес. Telegram для многих стал не просто мессенджером, а рабочим контуром, хранилищем файлов, контактов, корпоративных групп, проектных каналов и криптосообществ. Получив сессию, атакующие читают переписку, ищут финансовые данные, рассылают фишинг от имени жертвы и используют аккаунт для боковых атак внутри компании.

SentinelOne пока не привязывает кампанию к конкретной группировке, Несколько деталей при этом намекают на русскоязычных операторов или хотя бы на их желание не задевать пользователей СНГ. Вредонос проверяет, используются ли в системе российские источники ввода, и завершает работу при обнаружении региона СНГ, а поддельный сайт при попытке антианализа выдал сообщение «Доступ запрещен» на русском.

Тактика с пропуском СНГ для вредоносного ПО привычна. Стилеры, загрузчики и шифровальщики часто проверяют язык системы, раскладку клавиатуры, часовой пояс, региональные настройки и IP-адрес, после чего отказываются работать в нежелательной географии. Для защитников это не делает угрозу слабее, но помогает разбираться в логике операторов и сопоставлять кампании.

Опасность Reaper подсвечивает и сама роль macOS в современном бизнесе. Mac активно используют в разработке, дизайне, финансовой аналитике, криптопроектах и стартапах, на этих ноутбуках лежат SSH-ключи, токены облаков, доступы к GitHub, кошельки, документы клиентов и рабочие переписки. Один заражённый ноутбук легко перерастает из личной проблемы в точку входа в компанию.

Цепочка через поддельные сайты WeChat и Miro подобрана под широкую, но платёжеспособную аудиторию:

• пользователи WeChat, работающие с китайскими партнёрами и платёжными операциями;
• маркетологи и логисты, общающиеся с Китаем;
• дизайнеры и продакт-команды, живущие в Miro,
• аналитики, разработчики и менеджеры, держащие в Miro карты процессов;
• криптоэнтузиасты, у которых на Mac стоит и Telegram, и кошельки.

Жертвы такого пула редко бывают случайными по содержимому устройств. Это не школьник с одним браузером, а человек с активной рабочей средой, токенами, документами и иногда заметным криптобалансом.

Любопытно, что вся история Reaper выглядит как обычная воронка маркетинга, поддельная посадка, узнаваемый бренд, плавный онбординг, дальше скачивание и доверие, только продукт это бэкдор.

Подобные кампании окончательно хоронят миф о том, что «на Mac вирусов почти нет». Атаки давно ушли от грубых писем со странным вложением. Сейчас злоумышленники строят поддельные сайты, копируют визуал брендов, придумывают LaunchAgents с правдоподобными именами и выбирают приложения, которые реальные пользователи реально ставят.

Ранее сообщалось, что исследователи Calif с моделью Anthropic Mythos за 5 дней нашли 2 опасные уязвимости в macOS и собрали рабочую схему атаки против новой аппаратной защиты памяти Memory Integrity Enforcement. Эта история про верхний уровень исследований, где ИИ и эксперты проверяют свежие защиты Apple на прочность. Reaper играет на другом этаже, ему не нужен обход аппаратной защиты памяти, хватает уговорить человека скачать установщик и поверить в ложное системное сообщение.

Ранее также сообщалось, что Foxconn подтвердила кибератаку на североамериканские заводы после заявления группировки Nitrogen о краже 11 млн файлов и около 8 ТБ данных, среди которых якобы были материалы по проектам Apple, Nvidia, Google, Dell и Intel. Тот инцидент про цепочку поставки и производство, а Reaper про конечные устройства пользователей Apple.

По мнению редакции CISOCLUB, появление Reaper окончательно фиксирует macOS в роли полноценной мишени для коммерческих стилеров. Злоумышленники собрали аккуратную цепочку из поддельных сайтов, узнаваемых брендов, ложных сообщений Apple, псевдокомпонентов Google и охоты за криптокошельками, и эта связка работает за счёт доверия пользователя, а не за счёт сложного эксплойта. Главный риск для владельца Mac теперь не мифический «вирус из ниоткуда», а вполне убедительный установщик WeChat или Miro, скачанный не с того адреса.