Η εδραιωμένη αντίληψη ότι οι χρήστες macOS βρίσκονται στο απυρόβλητο των κυβερνοεπιθέσεων καταρρίπτεται για άλλη μια φορά. Μια εξαιρετικά εξελιγμένη παραλλαγή του επικίνδυνου λογισμικού SHub Reaper (infostealer) εντοπίστηκε να στοχεύει υπολογιστές Mac, χρησιμοποιώντας μια στρατηγική «χαμαιλέοντα» που αλλάζει προσωπεία σε κάθε στάδιο της μόλυνσης.
MacOS: Η πολυεπίπεδη αλυσίδα της επίθεσης
Σύμφωνα με ανάλυση του Phil Stokes, ερευνητή ασφαλείας της SentinelOne, το συγκεκριμένο malware ξεχωρίζει επειδή καταφέρνει να εμπλέξει ταυτόχρονα τρία από τα μεγαλύτερα ονόματα της τεχνολογίας για να παραπλανήσει το θύμα. Η επίθεση εξελίσσεται στα εξής στάδια:
- Το δόλωμα: Η μόλυνση ξεκινά με ψεύτικα αρχεία εγκατάστασης (installers) για δημοφιλείς εφαρμογές, όπως το WeChat και το Miro.
- Η προέλευση: Το κακόβουλο φορτίο (payload) φιλοξενείται σε ένα domain της Microsoft, το οποίο όμως αποτελεί προϊόν typo-squatting (παραλλαγή της πραγματικής ονομασίας με σκόπιμο ορθογραφικό λάθος για να μοιάζει αυθεντικό).
- Η εκτέλεση: Κατά την εκκίνησή του στο σύστημα, το λογισμικό εμφανίζεται μεταμφιεσμένο ως επίσημη ενημέρωση ασφαλείας της Apple.
- Η παραμονή: Προκειμένου να διατηρήσει μόνιμη πρόσβαση στον μολυσμένο Mac (persistence), το malware κρύβεται μέσα σε έναν πλαστό κατάλογο που υποδύεται τη διαδικασία Google Software Update.
Παράκαμψη των μηχανισμών ασφαλείας
Το SHub Reaper χρησιμοποιούσε παραδοσιακά τεχνικές «ClickFix», ωθώντας τους χρήστες να εκτελέσουν χειροκίνητα εντολές στο Terminal. Ωστόσο, η νέα αυτή παραλλαγή παρουσιάζει μια ανησυχητική αναβάθμιση: χρησιμοποιεί έναν μηχανισμό παράδοσης που παρακάμπτει πλήρως το Terminal και καταφέρνει να προσπεράσει τα πρόσφατα μέτρα προστασίας που εισήγαγε η Apple στην έκδοση macOS Tahoe 26.4 γι’ αυτούς ακριβώς τους τύπους επιθέσεων.
Οι ερευνητές προειδοποιούν ότι οι δημιουργοί του SHub Reaper δεν περιορίζονται πλέον στην απλή κλοπή διαπιστευτηρίων και ψηφιακών πορτοφολιών. Η νέα έκδοση εγκαθιστά μια μόνιμη κερκόπορτα (backdoor) στο σύστημα, δίνοντας στους επιτιθέμενους τη δυνατότητα να εξαγάγουν αρχεία (Filegrabber) ή να προχωρήσουν σε ακόμα πιο σοβαρές κακόβουλες εγκαταστάσεις σε δεύτερο χρόνο.
Πώς να προστατευτείτε
Καθώς το κακόβουλο λογισμικό μιμείται πιστά συμπεριφορές συστήματος και ειδοποιήσεις που οι χρήστες έχουν συνηθίσει να εμπιστεύονται, η προσοχή στη λεπτομέρεια είναι καθοριστική:
- Αποφύγετε scripts και installers: Μην κατεβάζετε αρχεία εγκατάστασης από ανεπίσημες ή ύποπτες ιστοσελίδες.
- Αγνοήστε ξαφνικές ειδοποιήσεις: Μην εμπιστεύεστε μηνύματα που εμφανίζονται στον browser ή σε εφαρμογές και ισχυρίζονται ότι «απαιτείται άμεση ενημέρωση ασφαλείας». Οι επίσημες ενημερώσεις του macOS γίνονται αποκλειστικά μέσω των Ρυθμίσεων Συστήματος.
- Ελέγχετε τα URLs: Πριν εισάγετε ευαίσθητα δεδομένα, βεβαιωθείτε ότι η διεύθυνση της ιστοσελίδας είναι η αυθεντική και όχι μια παραλλαγμένη αντιγραφή της.
- Προτιμήστε το Mac App Store: Για την εγκατάσταση εφαρμογών, χρησιμοποιείτε κατά προτίμηση το επίσημο κατάστημα της Apple ή τις επίσημες ιστοσελίδες των δημιουργών.