Una nueva variante del infostealer conocido como SHub, bautizada como Reaper, demuestra que los atacantes siguen adaptando sus técnicas para sortear las mejoras de seguridad de macOS: en lugar de engañar a las víctimas para que peguen comandos en Terminal, ahora usan el esquema de URL applescript:// para abrir el Script Editor con un AppleScript malicioso ya cargado que muestra una falsa actualización de seguridad y, si el usuario pulsa “Run”, descarga y ejecuta código que instala un backdoor y roba datos sensibles.
La sofisticación del ataque no está solo en la ingeniería social —el señuelo son instaladores falsos de aplicaciones populares como WeChat o Miro alojados en dominios que imitan a los legítimos— sino en la cadena técnica: el script construye dinámicamente el comando que trae el payload, oculta partes bajo arte ASCII, huye de análisis mediante fingerprinting de máquinas virtuales y VPNs, y llega a enumerar extensiones de navegador para detectar gestores de contraseñas y extensiones de criptowallet antes de decidir si procede con la infección.
Qué roba y cómo: Reaper solicita la contraseña de macOS para acceder al llavero (Keychain) y descifrar credenciales, luego busca datos de navegadores (Chrome, Firefox, Edge y otros), extensiones de wallets como MetaMask y Phantom, aplicaciones de monedero de escritorio (Exodus, Electrum, Ledger Live, etc.), sesiones de Telegram, datos de iCloud y archivos del escritorio y documentos que puedan contener información financiera. Además incluye un “Filegrabber” que recoge archivos seleccionados con límites por tamaño y volumen, y una rutina que si detecta clientes de monederos termina procesos legítimos y reemplaza ficheros centrales (por ejemplo, app.asar en aplicaciones basadas en Electron) con binarios maliciosos descargados del C2.
Para evadir protecciones como Gatekeeper y las advertencias de macOS, el malware limpia atributos de cuarentena con xattr -cr y aplica firmado ad hoc al bundle modificado; su persistencia la asegura instalando un LaunchAgent que se ejecuta periódicamente (cada minuto) haciéndose pasar por un actualizador legítimo y sirviendo como beacon para recibir y ejecutar cargas útiles adicionales.
Las implicaciones son claras: usuarios individuales, profesionales que manejan claves privadas o credenciales y empresas con Mac en su parque son objetivo. La combinación de robo de credenciales, exfiltración de archivos y capacidad para instalar herramientas de acceso remoto convierte a Reaper en una plataforma que puede evolucionar hacia ataques de mayor impacto, incluida la sustracción de fondos de wallets o el movimiento lateral en entornos corporativos.
Para conocer el análisis técnico y los indicadores que han publicado los investigadores, puede leerse el informe de SentinelOne sobre SHub Reaper: SentinelOne: SHub Reaper. Para recomendaciones genéricas sobre higiene frente a malware y prácticas de respuesta inicial, la guía del CERT/CISA ofrece buenas pautas: CISA: Proteja su equipo contra código malicioso.
Acciones recomendadas inmediatas para usuarios: no ejecutar ni “Run” en ventanas del Script Editor que aparezcan tras descargar algo desde la web, verificar siempre los dominios de descarga directamente desde la web oficial del proveedor, y preferir paquetes firmados y comprobables. Si sospecha que su Mac ha sido comprometido, desconéctelo de la red, haga copias de seguridad seguras y considere revocar y rotar credenciales y claves. Para usuarios de criptomonedas, mueva fondos a wallets fríos (hardware wallets) y evite operar desde equipos que puedan estar comprometidos.
Acciones recomendadas para administradores y equipos de seguridad: monitorizar la ejecución de osascript y Script Editor desde navegadores o descargas, revisar LaunchAgents recientes y entradas que imiten actualizadores legítimos, detectar archivos con atributos de cuarentena borrados (xattr) o firmas ad hoc inusuales, y buscar reemplazos de ficheros app.asar en aplicaciones de wallet. Integrar reglas de detección para tráfico saliente atípico hacia la API de Telegram o dominios asociados a C2 y desplegar herramientas EDR que rastreen creación de procesos zsh/curl que descarguen y ejecuten scripts desde ubicaciones remotas.
Por último, mantenga el sistema actualizado, aplique políticas de restricción en navegadores y extensiones (bloquear extensiones no aprobadas), fomente el principio de menor privilegio (no usar cuentas de administrador para tareas diarias) y eduque a los usuarios sobre técnicas de ingeniería social como actualizaciones falsas y “ClickFix”-style prompts. La amenaza es doble: técnica y humana; reducir la superficie de ataque exige controles técnicos y cambios en el comportamiento del usuario.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...