Uma nova variante do infostealer conhecido como SHub, batizada como Reaper, demonstra que os atacantes continuam a adaptar as suas técnicas para contornar as melhorias de segurança do macOS: em vez de enganar as vítimas para colar os comandos no Terminal, agora usam o esquema de URL applescript:// para abrir o Script Editor com um AppleScript malicioso já carregado que mostra uma falsa atualização de segurança e, se o usuário carregar em "Run", baixar e executar código que instala um backdoor e rouba dados sensíveis.
A sofisticação do ataque não está apenas na engenharia social — o senhô são instaladores falsos de aplicações populares como WeChat ou Miro hospedados em domínios que imitam os legítimos — mas na cadeia técnica: o script constrói dinâmicamente o comando que traz o payload, oculta partes sob arte ASCII, foge de análise mediante fingerprinting de máquinas virtuais e VPNs, e chega a enumerar extensões de navegador para detectar gestores de senhas e extensões de criptowallet antes de decidir se procede com a infecção.
O que rouba e como: Reaper pede a senha do macOS para acessar o chaveiro (Keychain) e decifrar credenciais, depois busca dados de navegadores (Chrome, Firefox, Edge e outros), extensões de wallets como MetaMask e Phantom, aplicativos de carteira de desktop (Exodus, Electrum, Ledger Live, etc.), sessões do Telegram, dados do iCloud e arquivos do desktop e documentos que possam conter informações financeiras. Além disso, inclui um “Filegrabber” que recolhe arquivos selecionados com limites por tamanho e volume, e uma rotina que se detecta clientes de carteiras termina processos legítimos e substitui arquivos centrais (por exemplo, app.asar em aplicativos baseados em Electron) com binários maliciosos baixados do C2.
Para evitar proteções como Gatekeeper e advertências do macOS, o malware limpa atributos de quarentena com xattr -cr e aplica assinado ad hoc ao bundle modificado; sua persistência assegura instalando um LaunchAgent que é executado periodicamente (cada minuto) fazendo passar por um actualizador legítimo e servindo como beacon para receber e executar cargas úteis adicionais.
As implicações são claras: usuários individuais, profissionais que manejam chaves privadas ou credenciais e empresas com Mac em seu parque são alvo. A combinação de roubo de credenciais, exfiltração de arquivos e capacidade para instalar ferramentas de acesso remoto converte a Reaper em uma plataforma que pode evoluir para ataques de maior impacto, incluindo a subtração de fundos de wallets ou o movimento lateral em ambientes corporativos.
Para conhecer a análise técnica e os indicadores que os pesquisadores publicaram, você pode ler o relatório do SentinelOne sobre SHub Reaper: SentinelOne: SHub Reaper. Para recomendações genéricas sobre higiene frente a malware e práticas de resposta inicial, o guia do CERT/CISA oferece boas diretrizes: CISA: Proteja sua equipe contra código malicioso.
Ações recomendadas imediatas para usuários: não executar ou “Run” em janelas do Script Editor que aparecem após baixar algo da web, verificar sempre os domínios de download diretamente da web oficial do fornecedor, e preferir pacotes assinados e comprovavelmente. Se suspeitar que o seu Mac tenha sido comprometido, desconectelo da rede, faça cópias de segurança seguras e considere revogar e rodar credenciais e chaves. Para usuários de criptomoedas, mova fundos para wallets frios (hardware wallets) e evite operar desde equipes que possam estar comprometidos.
Acções recomendadas para administradores e equipamentos de segurança: monitorar a execução de osascript e Script Editor a partir de navegadores ou downloads, revisar LaunchAgents recentes e entradas que imitem atualizadores legítimos, detectar arquivos com atributos de quarentena apagados ( xattr) ou assinaturas ad hoc incomuns, e procurar substituições de arquivos app.asar em aplicações de wallet. Integrar regras de detecção para o tráfego saliente atípico para a API do Telegram ou domínios associados a C2 e implantar ferramentas EDR que rastreem a criação de processos zsh/curl que baixem e executem scripts de locais remotos.
Finalmente, mantenha o sistema atualizado, aplique políticas de restrição em navegadores e extensões (bloquear extensões não aprovadas), fomente o princípio de menor privilégio (não usar contas de administrador para tarefas diárias) e eduque usuários sobre técnicas de engenharia social como atualizações falsas e “ClickFix”-style prompts. A ameaça é dupla: técnica e humana; reduzir a superfície de ataque exige controles técnicos e mudanças no comportamento do usuário.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...