Se usi un Mac, il consiglio più importante è semplice: non avviare mai aggiornamenti o installer da pagine sospette, anche se sembrano ufficiali. Questa nuova campagna dimostra che un messaggio ben costruito può bastare a convincere l’utente a concedere accesso al sistema. Se hai dubbi, chiudi la finestra, verifica manualmente gli aggiornamenti da Impostazioni di Sistema e controlla subito password, wallet e account collegati.
Un nuovo ceppo della famiglia SHub per macOS sta circolando con una tattica più subdola rispetto alle campagne precedenti. La variante, ribattezzata Reaper, non punta più solo a far eseguire comandi in Terminale: usa invece uno schema basato su AppleScript per mostrare un finto avviso di sicurezza Apple e poi installare un componente malevolo con funzioni di furto dati e accesso remoto.
L’obiettivo dell’attacco è ampio e include informazioni del browser, documenti archiviatI localmente, dati di portafogli crypto e varie credenziali salvate nel sistema. In pratica, l’infezione può compromettere sia la privacy personale sia i fondi digitali e gli account professionali.
Come funziona l’inganno
Gli operatori dietro Reaper sfruttano siti web creati per sembrare pagine legittime di applicazioni note, come WeChat e Miro. I domini usati imitano nomi affidabili, così da ingannare soprattutto gli utenti meno esperti. Le pagine mostrano pulsanti di download e flussi di installazione che appaiono normali, ma in realtà portano al rilascio del payload malevolo.
A differenza delle vecchie campagne basate sul cosiddetto approccio “ClickFix”, dove la vittima veniva portata a incollare ed eseguire istruzioni nel Terminale, questa nuova versione usa lo schema applescript://. In questo modo viene aperto Script Editor di macOS con uno script già preparato, rendendo l’interazione più credibile e meno sospetta.
Questo cambio di strategia è importante perché aggira alcune mitigazioni introdotte da Apple contro l’esecuzione di comandi incollati in Terminale. In sostanza, gli aggressori hanno spostato l’attacco su un percorso che può sembrare più innocuo agli occhi dell’utente.
La catena d’infezione
Prima di mostrare il contenuto malevolo, i siti controllano alcune caratteristiche del dispositivo visitatore. Tra i controlli ci sono la presenza di macchine virtuali, VPN e persino alcune estensioni del browser, in particolare quelle legate a gestori di password e wallet di criptovalute. Le informazioni raccolte vengono poi inviate agli operatori tramite un bot Telegram.
Quando la vittima interagisce con il pulsante di esecuzione, lo script mostra un falso messaggio di aggiornamento di sicurezza Apple, con un riferimento a XProtectRemediator, per dare l’illusione di un processo normale e autorizzato. Nel frattempo scarica uno script shell con curl e lo esegue in silenzio tramite zsh.
La logica più pericolosa arriva subito dopo: se il sistema non presenta segnali collegati a una tastiera o input russi, il malware procede. Se invece rileva quel contesto, segnala un evento di blocco al server di comando e controllo e interrompe l’infezione. Questo tipo di controllo suggerisce una selezione mirata delle vittime o un tentativo di evitare determinate aree geografiche.
Cosa ruba Reaper
Una volta avviato, Reaper richiede la password di macOS con una finestra che può sembrare legittima. Se l’utente inserisce la password, il malware può tentare di accedere a Keychain, decifrare credenziali salvate e ottenere dati protetti dal sistema.
Tra gli obiettivi del furto ci sono:
- dati del browser da Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc e Orion
- estensioni di wallet crypto come MetaMask e Phantom
- estensioni di password manager come 1Password, Bitwarden e LastPass
- app desktop per criptovalute come Exodus, Atomic Wallet, Ledger Live, Electrum e Trezor Suite
- dati dell’account iCloud
- sessioni Telegram
- file di configurazione per sviluppatori
Il rischio non riguarda solo chi usa il Mac per navigare. Anche professionisti, freelance e sviluppatori possono subire danni rilevanti se nel sistema sono presenti credenziali, token di accesso o chiavi API riutilizzabili.
Il modulo Filegrabber
Oltre al furto di credenziali, Reaper include un componente chiamato Filegrabber, progettato per cercare contenuti sensibili nelle cartelle Desktop e Documenti. Il modulo seleziona file con estensioni o dimensioni compatibili con dati interessanti, raccogliendo file sotto i 2 MB e, nel caso delle immagini PNG, fino a 6 MB. La raccolta complessiva può arrivare a 150 MB.
Questo significa che il malware non si limita ai dati “strutturati”, ma può anche raccogliere screenshot, ricevute, PDF, fogli di calcolo, bozze di documenti e altri materiali che potrebbero contenere informazioni economiche o riservate.
Manipolazione delle app wallet
Quando rileva applicazioni per wallet di criptovalute, il malware può tentare di comprometterle direttamente. La tecnica osservata prevede la terminazione dei processi associati e la sostituzione del file principale con una versione malevola chiamata app.asar, scaricata dal server di comando e controllo.
Per ridurre la probabilità che macOS segnali l’app come sospetta, il codice malevolo rimuove gli attributi di quarantena con xattr -cr e applica una firma ad hoc al pacchetto modificato. Questo aiuta a evitare alcuni controlli di Gatekeeper e rende più difficile notare la manomissione a colpo d’occhio.
Persistenza e accesso prolungato
Reaper non si ferma al primo contatto. Per mantenere la persistenza, installa uno script che imita un aggiornamento software di Google e lo registra come LaunchAgent. Lo script viene eseguito ogni minuto e funziona come un beacon, inviando informazioni di sistema al server remoto.
Se il server restituisce un payload, il malware può decodificarlo ed eseguirlo nel contesto dell’utente attivo, per poi eliminare il file usato per il comando. In questo modo l’operatore può estendere il controllo sulla macchina e, in prospettiva, distribuire ulteriori strumenti malevoli.
Perché questa campagna è pericolosa
La minaccia è rilevante per tre motivi. Primo, usa una falsa esperienza visiva molto convincente, basata su AppleScript e avvisi di sistema imitati. Secondo, colpisce obiettivi ad alto valore come wallet, browser e password manager. Terzo, combina furto dati, persistenza e possibile accesso remoto, trasformando una singola infezione in un compromesso di lungo periodo.
Per gli utenti Mac, questo è un promemoria importante: anche se il sistema viene spesso percepito come più sicuro, gli attaccanti stanno affinando le tecniche di ingegneria sociale e di abuso delle funzioni native del sistema operativo.
Cosa fare subito
Se sospetti di aver interagito con una pagina o un installer simile, esegui questi controlli:
- verifica manualmente gli aggiornamenti di macOS da Impostazioni di Sistema
- cambia subito la password degli account importanti da un dispositivo fidato
- controlla gli accessi recenti a email, cloud, wallet e Telegram
- rimuovi estensioni browser che non riconosci
- verifica in Elementi login e LaunchAgents la presenza di voci anomale
- esegui una scansione completa con un software di sicurezza affidabile
Le aziende dovrebbero inoltre monitorare traffico in uscita anomalo dopo l’apertura di Script Editor, nuovi LaunchAgents con nomi simili a vendor noti e file modificati nei bundle delle app wallet.
Technical Deep Dive
Reaper sfrutta una catena multi-stadio che combina social engineering, fingerprinting del dispositivo, esecuzione di AppleScript tramite URL scheme e persistenza tramite LaunchAgent. La scelta di applescript:// è strategica: consente di aprire Script Editor con un payload già confezionato, riducendo la frizione tipica dei flussi basati su Terminale e aggirando mitigazioni focalizzate su shell paste-and-run.
Dal punto di vista operativo, il malware raccoglie segnali dell’ambiente prima di proseguire. Il controllo su VM, VPN ed estensioni browser suggerisce una fase di triage utile sia per evitare analisti sia per classificare la vittima in base al valore potenziale. L’uso di Telegram come canale di telemetria semplifica l’orchestrazione delle informazioni raccolte.
La parte di esfiltrazione dati è ampia: browser profile, wallet extension storage, password manager extension data, artefatti iCloud e sessioni Telegram. Questo rende il malware particolarmente efficace contro utenti che conservano segreti operativi in più applicazioni sincronizzate o su browser multipli.
Il modulo di file harvesting amplia ulteriormente l’impatto, perché consente di recuperare documenti non protetti che spesso contengono dati finanziari, contrattuali o di identità. La soglia dimensionale indica una selezione mirata a file utili, evitando raccolte troppo voluminose che potrebbero aumentare il rumore di rete.
La componente di persistenza tramite LaunchAgent, unita alla possibilità di ricevere ed eseguire payload remoti, indica un’evoluzione verso funzionalità da accesso iniziale + foothold persistente. In scenari aziendali, questo può aprire la strada a ulteriori compromissioni, inclusi furto di token, abuso di account cloud e distribuzione di secondi stadi malware.
Per difesa e hunting, risultano utili controlli su: richieste anomale a Script Editor, avvisi di update Apple non avviati da percorsi standard, file app.asar modificati in app wallet, LaunchAgent con nomi simili a vendor affidabili, e connessioni verso endpoint non documentati subito dopo la visualizzazione di una finta procedura di aggiornamento. Un’attenzione particolare va riservata anche alle modifiche agli attributi di quarantena e all’uso di firme ad hoc su bundle applicativi.
