Gli strumenti fidati del Mac diventano la trappola in una nuova campagna di SHub Stealer
Un presunto stealer per macOS chiamato Reaper abbina finte pagine di download di app a un avvio di script in stile ClickFix, mettendo nel mirino i dati del browser e i wallet crypto.
Ciò che rende inquietante questa campagna non è solo il nome del malware. È il modo in cui il percorso di infezione prende in prestito il linguaggio del normale uso del Mac: un download di app familiare, poi un legittimo strumento di scripting Apple, quindi codice che l'utente viene indotto a eseguire. Questa combinazione trasforma la fiducia di routine nel meccanismo di consegna per una famiglia di stealer collegata a SHub e denominata Reaper.
Fatti rapidi
- Reaper viene descritto come una variante per macOS associata alla famiglia di stealer SHub.
- Gli aggressori usano false pagine di download per app popolari, tra cui WeChat e Miro.
- Il percorso di infezione utilizza una tecnica in stile ClickFix che apre Script Editor di Apple con codice malevolo.
- Il malware prende di mira i principali browser e i wallet di criptovalute.
- Le informazioni disponibili non confermano la portata della campagna, il numero di vittime o eventuali furti di dati verificati.
Perché è importante
Si tratta di un classico problema di esecuzione da parte dell'utente, presentato come flusso di installazione. Invece di fare affidamento su un exploit software difficile, la catena dell'attacco sembra spingere la vittima ad avviare codice all'interno di Script Editor di Apple. Questo conta perché Script Editor e AppleScript sono strumenti legittimi di automazione di macOS, quindi la loro presenza da sola non appare sospetta. Dal punto di vista difensivo, ciò sposta il problema dalla gestione delle patch alla gestione della fiducia.
I raggiri in stile ClickFix sono particolarmente efficaci perché chiedono al bersaglio di compiere il passo finale. In termini MITRE ATT&CK, significa che l'azione decisiva è l'ingegneria sociale, non una violazione dal lato della rete. Per i difensori, questo cambia ciò che va monitorato: il comportamento del browser, i modelli di avvio degli script e le transizioni insolite da una pagina di download all'esecuzione di codice locale.
Il premio più grande per l'attaccante è il valore dei dati. Gli archivi del browser possono contenere credenziali e stato delle sessioni, mentre i wallet crypto possono contenere asset o materiale di recupero. Uno stealer che raggiunge questi obiettivi può creare rischi a valle anche se, inizialmente, il compromesso sembra lieve. Le informazioni pubbliche non stabiliscono ancora se questa campagna abbia avuto successo nel furto di dati, ma solo che è costruita per colpire materiale di alto valore nei browser e nei wallet.
Al momento della stesura, le informazioni pubbliche non hanno ancora stabilito in modo completo la causa tecnica alla radice, l'ambito completo degli utenti colpiti o se i sistemi a valle siano stati compromessi.
Cosa dovrebbero cercare i difensori
I team di sicurezza dovrebbero considerare come campanello d'allarme qualsiasi sito che chieda all'utente di aprire Script Editor o di eseguire codice copiato. Il raggiro stesso può essere il primo punto di controllo osservabile. Le protezioni del browser, la telemetria degli endpoint e la formazione degli utenti contano tutti in questo contesto, ma la lezione principale è semplice: quando una pagina di download inizia a chiedere l'esecuzione di script, l'installazione non è più normale.
Per i Mac ad alto rischio, soprattutto quelli usati per gestire asset digitali, l'approccio più sicuro è ridurre al minimo l'esposizione locale dei wallet e tenere sotto stretta osservazione l'attività di scripting inattesa. La campagna rafforza anche una lezione più ampia per la difesa di macOS: gli strumenti integrati non sono intrinsecamente sicuri solo perché sono nativi. Nelle mani sbagliate, possono diventare parte del percorso di attacco.
Conclusione
Reaper ricorda che il malware moderno non ha sempre bisogno di sfondare per entrare. A volte gli basta una pagina di download credibile e un'utilità fidata già presente sul desktop. Questo rende il confine tra comodità e compromissione molto più sottile di quanto molti utenti immaginino. La lezione duratura è semplice: su macOS, il prompt più pericoloso può essere quello che ti chiede di aiutare il malware a eseguirsi.
TECHCROOK
chiave di sicurezza hardware: Una piccola chiave fisica per l'accesso a due fattori sugli account supportati. È un'opzione pratica per chi desidera una protezione dell'account più forte rispetto alle sole password. Non sostituisce la navigazione sicura né blocca da sola il malware, ma può contribuire a limitare l'utilità di password e dati del browser rubati.
WIKICROOK
- Infostealer: Malware progettato per raccogliere credenziali, dati del browser e altre informazioni sensibili da un dispositivo infetto.
- Script Editor: Un'app integrata di macOS usata per creare ed eseguire script, incluso AppleScript.
- AppleScript: Il linguaggio di scripting di Apple per automatizzare azioni e controllare applicazioni su macOS.
- ClickFix: Un modello di ingegneria sociale che spinge l'utente a eseguire da sé il codice fornito dall'attaccante.
- Token di sessione: Un artefatto di autenticazione temporaneo che può consentire a un attaccante di riutilizzare una sessione del browser già autenticata.




