Un nuevo malware malicioso está atacando a los usuarios de macOS disfrazado de una actualización crítica del sistema y de un popular software de trabajo. La unidad de investigación de la empresa de ciberseguridad SentinelOne, SentinelLABS, descubrió recientemente esta amenaza.
Qué es un Shub
SHub (también conocido como SHub Stealer o SHub.Loader) es un malware sofisticado y un troyano «stealer» diseñado específicamente para atacar equipos macOS. Su objetivo principal es robar información confidencial como contraseñas, datos de navegación, monederos de criptomonedas y sesiones activas como las de Telegram
Cómo actúa SHub Reaper
Apple actualizó macOS Tahoe 26.4 para detener ataques similares. Os explicábamos que desde dicha actualización, el sistema nos muestra advertencias cuando los usuarios intentamos pegar comandos potencialmente peligrosos en la Terminal, apuntando directamente a los métodos de ingeniería social ampliamente utilizados en ataques de tipo ClickFix. Pero los investigadores descubrieron que «Reaper elude por completo esa solución», lo que lo convierte en una seria amenaza para los usuarios de Mac.
Reaper utiliza instaladores falsos de WeChat y Miro como señuelos, pero lo que destaca es la forma en que la cadena de infección cambia de disfraz en cada etapa. La carga útil puede alojarse en un dominio de Microsoft manipulado mediante errores tipográficos, ejecutarse bajo la apariencia de una actualización de seguridad de Apple y persistir desde un directorio falso de Actualización de Software de Google. Además de las funciones de SHub previamente documentadas, esta versión también añade un módulo de robo de documentos al estilo AMOS con cargas fragmentadas.
Cuando alguien visita estas páginas, el código JavaScript oculto inspecciona su ordenador en busca de software específico, direcciones IP, datos de ubicación y herramientas de seguridad, y el ataque avanza solo si el usuario está fuera de Rusia. Después, el usuario es engañado para que abra una herramienta Mac incorporada llamada Script Editor utilizando un esquema de enlace especial.
Este enlace contiene los comandos de los atacantes ocultos usando líneas en blanco y arte de texto ASCII para que el usuario no pueda verlos en la pantalla. Si el usuario hace clic en Ejecutar, aparece un mensaje falso como una actualización de seguridad oficial de Apple para XProtectRemediator, que, en lugar de actualizar el ordenador, comienza a descargar archivos de Internet utilizando la herramienta curl.
Noticias relacionadas
AppleScript de Reaper conserva ese comportamiento central, apuntando a datos de Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc y Orion, así como extensiones de navegador y aplicaciones de billetera de escritorio, como Exodus, Atomic, Ledger Live, Electrum y Trezor Suite.
Además, la compilación de Reaper incluye una rutina Filegrabber que se asemeja a la funcionalidad de robo de documentos que se ve en Atomic macOS Stealer (AMOS). El controlador Filegrabber busca en las carpetas Escritorio y Documentos del usuario archivos que probablemente contengan valor comercial o financiero.
El script está diseñado para procesar archivos con las extensiones .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json y .rdp de menos de 2 MB, así como imágenes .png de menos de 6 MB, con un límite total de recopilación de 150 MB.
Jason Soroko , investigador sénior de Sectigo, dijo:
La variante SHub Reaper representa una evolución notable en los programas de robo de información para macOS, ya que se aleja de las tácticas estándar de ingeniería social que requieren que las víctimas peguen manualmente comandos en la Terminal. Este enfoque reduce la barrera técnica para la infección y demuestra un giro estratégico hacia el abuso de los controladores de aplicaciones nativas en lugar de depender únicamente del error del usuario».
