🔍 Contexte

Publié le 18 mai 2026 par Phil Stokes sur le blog de SentinelOne, cet article présente l’analyse technique d’une nouvelle variante du stealer macOS SHub, identifiée sous le build tag “Reaper”. Des recherches antérieures de Moonlock, Jamf et Malwarebytes avaient déjà documenté SHub Stealer et ses techniques associées.

🎯 Vecteur d’infection et leurres

Reaper utilise de faux installeurs WeChat et Miro comme leurres initiaux, hébergés sur des domaines typosquattés dont mlcrosoft[.]co[.]com (usurpant Microsoft). La chaîne d’infection change de déguisement à chaque étape :

  • Faux installeur WeChat ou Miro
  • Payload hébergé sur un domaine typosquatté Microsoft
  • Exécution déguisée en mise à jour de sécurité Apple (XProtectRemediator)
  • Persistance dissimulée dans un faux répertoire Google Software Update

⚙️ Mécanisme de livraison

Contrairement aux variantes ClickFix classiques, Reaper exploite le schéma URL applescript:// pour ouvrir le Script Editor macOS pré-rempli avec le payload malveillant. Le script AppleScript est construit dynamiquement et masqué via du rembourrage ASCII art. Ce mécanisme contourne la mitigation Apple Tahoe 26.4 ciblant les flux ClickFix.

Une fois exécuté, le script vérifie la locale via com.apple.HIToolbox.plist : si des sources d’entrée russes sont détectées (région CIS), le malware envoie un événement cis_blocked au C2 et s’arrête.

🕵️ Anti-analyse et télémétrie web

Les pages leurres embarquent plusieurs techniques d’évasion :

  • Fingerprinting : IP, géolocalisation, WebGL, détection VM/VPN
  • Énumération des extensions navigateur (1Password, Bitwarden, LastPass, MetaMask, Phantom)
  • Override des fonctions console, interception de F12, boucle debugger continue
  • Remplacement du contenu par un message “Accès refusé” en russe si DevTools est détecté
  • Envoi des données de télémétrie via un bot Telegram hardcodé

📤 Moteur d’exfiltration et Filegrabber

L’AppleScript récupère le mot de passe de session via une fausse boîte de dialogue, puis cible :

  • Navigateurs : Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, Orion
  • Wallets desktop : Exodus, Atomic, Ledger Live, Electrum, Trezor Suite
  • Fichiers (Desktop/Documents) : .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json, .rdp (<2MB), .png (<6MB), cap total 150MB

Les fichiers sont stagés dans /tmp/shub_<random>/. Si l’archive dépasse 85MB, un script /tmp/shub_split.sh découpe en chunks ZIP de 70MB uploadés séquentiellement vers hebsbsbzjsjshduxbs[.]xyz/gate/chunk.

💰 Hijacking de wallets crypto

Reaper remplace le fichier app.asar légitime des wallets Exodus, Atomic, Ledger et Trezor par une version modifiée récupérée depuis le C2. Il contourne Gatekeeper via xattr -cr et re-signe le bundle avec une signature ad hoc.

🔁 Persistance et backdoor

Un LaunchAgent est installé sous le nom com.google.keystone.agent.plist, exécutant toutes les 60 secondes un script GoogleUpdate situé dans ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/. Ce script envoie un heartbeat au C2 (/api/bot/heartbeat) et exécute tout payload “code” retourné via un fichier éphémère /tmp/.c.sh.

📋 Type d’article

Analyse technique publiée par SentinelOne, visant à documenter la chaîne d’attaque complète de SHub Reaper et à fournir des indicateurs de compromission exploitables pour les défenseurs.

🧠 TTPs et IOCs détectés

TTP

  • T1566 — Phishing (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1547.011 — Boot or Logon Autostart Execution: Plist Modification (Persistence)
  • T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
  • T1056.002 — Input Capture: GUI Input Capture (Collection)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1553.001 — Subvert Trust Controls: Gatekeeper Bypass (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1614.001 — System Location Discovery: System Language Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1195 — Supply Chain Compromise (Initial Access)

IOC

  • Domaines : hebsbsbzjsjshduxbs.xyzVT · URLhaus · ThreatFox
  • Domaines : qq-0732gwh22.comVT · URLhaus · ThreatFox
  • Domaines : mlcrosoft.co.comVT · URLhaus · ThreatFox
  • Domaines : mlroweb.comVT · URLhaus · ThreatFox
  • URLs : https://hebsbsbzjsjshduxbs.xyz/api/debug/eventURLhaus
  • URLs : https://hebsbsbzjsjshduxbs.xyz/api/bot/heartbeatURLhaus
  • URLs : https://hebsbsbzjsjshduxbs.xyz/gateURLhaus
  • URLs : https://hebsbsbzjsjshduxbs.xyz/gate/chunkURLhaus
  • SHA256 : 6552824c59ddacb134073f24a4bd4724514a938a9dc59f1733503642faed3bd3VT · MalwareBazaar
  • MD5 : c917fcf8314228862571f80c9e4a871eVT · MalwareBazaar
  • Fichiers : GoogleUpdate
  • Fichiers : com.google.keystone.agent.plist
  • Fichiers : shub_log.zip
  • Fichiers : shub_split.sh
  • Chemins : ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate
  • Chemins : ~/Library/LaunchAgents/com.google.keystone.agent.plist
  • Chemins : /tmp/shub_log.zip
  • Chemins : /tmp/shub_split.sh
  • Chemins : /tmp/.c.sh

Malware / Outils

  • SHub Stealer (stealer)
  • SHub Reaper (stealer)
  • Atomic macOS Stealer (AMOS) (stealer)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ sentinelone.com — source reconnue (liste interne) (20pts)
  • ✅ 22040 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 19 IOCs dont des hashes (15pts)
  • ✅ 3/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 20 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • hebsbsbzjsjshduxbs.xyz (domain) → VT (22/91 détections) + ThreatFox (Unknown malware)
  • qq-0732gwh22.com (domain) → VT (17/91 détections)
  • mlcrosoft.co.com (domain) → VT (17/91 détections)

🔗 Source originale : https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/