Reaper竊資程式混合冒充蘋果、微軟、Google，攻擊macOS用戶並建立後門

近年來以macOS為目標的竊資程式愈來愈多，例如SHub Stealer利用ClickFix社交工程手法及假冒的App安裝程式廣為散佈。SentinelOne最近發現的Reaper為SHub Stealer變種，使用以WeChat和線上協作白板Miro安裝程式為誘餌的手法和前版相似，手法更複雜，竊取目標也更多。值得一提的是，Reaper感染鏈在每個階段都冒充不同大廠。首先，它的惡意程式託管在一個誤植域名（typo-squatted）的假微軟網域，冒充蘋果安全更新執行，之後經由假的Google軟體更新目錄進行持續性(persistent)攻擊。

研究人員分析，在使用者造訪假WeChat和Miro網頁階段，這個冒牌微軟（mlcrosoft[.]co[.]com）網站就開始蒐集遙測資料(telemetry)。網站上的JavaScript會蒐集用戶系統和瀏覽器資訊，例如IP位址、地點、WebGL指紋及VM或VPN等資訊。它還會分析瀏覽器安裝的外掛如1Password、Bitwarden、LastPass、及加密貨幣錢包如MetaMask和Phantom。這些資訊最後都經由Telegram bot送回攻擊者主機。

在執行階段，不同於SHub使用ClickFix手法騙取受害者將ScriptEditor指令貼入Mac電腦的Terminal指令行，Reaper完全跳過Terminal，無法被macOS Tahoe 26.4安全防護機制攔阻。它使用applescript://xn--macos-wo0i9649a Script Editor，開啟時即已預載了惡意AppleScript，但看起來是蘋果更新。當用戶按下「Run」鍵後即下載第二階段惡意程式，並背景啟動執行遠端AppleScript，收集憑證與敏感資料。攻擊者利用macOS內建工具，因而難以被傳統防毒偵測。研究人員甚至發現它能清除屬性繞過macOS中的Gatekeeper。

最後，不同於之前macOS竊資程式是一次性行動，Reaper會在執行階段植入後門，並且建立冒充Google軟體更新的目錄，以及代理程式(com.google.keystone.agent.plist)。這個程式每60秒就會向C2伺服器回報一次並下載指令，維持持續性攻擊。這個AppleScript還會修改加密貨幣錢包以竊取財物。

歸結而言，除了SHub尋找的密碼、macOS Keychain、開發人員配置檔、iCloud帳號、Telegram session資料，Reaper幾乎無所不蒐。不但蒐集主流瀏覽器Chrome、Firefox、Brave、Edge、Opera、vivaldi、Arc和Orion瀏覽器及其擴充程式，其蒐集加密貨幣錢包如Exodus、Atomic Wallet、Ledger Live、Trezor Suite。此外它的Filegrabber元件也類似Atomic macOS Stealer (AMOS)，會搜尋用戶「桌面｣和「文件」內的重要檔案資料。

研究人員建議用戶留意Script Editor是否出現可疑的對外連線行為，以及系統中是否新增由信賴廠商名義安裝、但實際透過LaunchAgents建立的檔案。