AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**SHub Reaper: Nuevo Stealer Usa Instaladores Falsos de WeChat y Miro y Tácticas Basadas en AppleScript**

admin

### 1. Introducción

El panorama de amenazas en sistemas macOS sigue evolucionando a un ritmo acelerado, con el surgimiento de familias de malware cada vez más sofisticadas. Un ejemplo reciente es el stealer SHub Reaper, que ha captado la atención de la comunidad de ciberseguridad al aprovechar instaladores falsos de aplicaciones populares como WeChat y Miro. Este malware marca una transición significativa en las tácticas utilizadas, desplazándose de los tradicionales ataques basados en ClickFix hacia técnicas de ejecución mediante AppleScript, lo que plantea nuevos retos para los equipos de defensa y respuesta.

### 2. Contexto del Incidente o Vulnerabilidad

El stealer SHub Reaper ha sido detectado distribuyéndose a través de portales fraudulentos y campañas de phishing que suplantan instaladores legítimos de WeChat y Miro para macOS. Aprovechando la popularidad de estas aplicaciones en entornos empresariales y de usuario final, los atacantes logran engañar a las víctimas para que descarguen y ejecuten binarios maliciosos. La tendencia responde al aumento de ataques dirigidos a dispositivos Apple, especialmente tras la paulatina mejora de las defensas nativas y la adopción de buenas prácticas en Windows.

Hasta ahora, campañas similares habían empleado el mecanismo ClickFix, que requería la interacción manual del usuario para modificar ajustes de seguridad en macOS. Sin embargo, SHub Reaper automatiza el proceso utilizando AppleScript, reduciendo la necesidad de intervención del usuario y elevando la tasa de éxito de la infección.

### 3. Detalles Técnicos: Vectores de Ataque, CVE y TTP

El análisis técnico revela que SHub Reaper se distribuye mayoritariamente en archivos DMG y PKG, que simulan ser instaladores genuinos de las aplicaciones mencionadas. Una vez ejecutados, estos archivos despliegan un AppleScript que solicita permisos de accesibilidad y automatización, permitiendo al malware operar con privilegios elevados.

#### Vectores de ataque y TTP (MITRE ATT&CK):

– **T1566.001 (Phishing: Spearphishing Attachment):** Distribución de instaladores falsos mediante campañas de correo electrónico y páginas web comprometidas.
– **T1059.002 (Command and Scripting Interpreter: AppleScript):** Uso de scripts para automatizar la ejecución y evasión de controles de seguridad.
– **T1547.001 (Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder):** Persistencia a través de la modificación de elementos de inicio en macOS.
– **T1082 (System Information Discovery):** Recolección de información sobre el sistema infectado.
– **T1113 (Screen Capture):** Captura de pantalla para el robo de información sensible.

Hasta la fecha, no se ha asignado un CVE específico a este stealer, dado que explota principalmente técnicas de ingeniería social y abuso de funcionalidades legítimas del sistema operativo más que vulnerabilidades de software.

#### Indicadores de Compromiso (IoC):

– Hashes SHA-256 de DMG/PKG maliciosos compartidos en foros de threat intelligence.
– Solicitudes inusuales de permisos de accesibilidad en el proceso de instalación de WeChat/Miro.
– Conexiones de salida a dominios y direcciones IP asociadas a infraestructura de C2 (Command and Control).

### 4. Impacto y Riesgos

La funcionalidad principal de SHub Reaper es el robo de credenciales, cookies de sesión, información de carteras de criptomonedas y datos almacenados en navegadores web. La automatización mediante AppleScript incrementa la probabilidad de evasión de controles como Gatekeeper y XProtect, y complica la detección basada en comportamiento. Según estimaciones preliminares, más de un 60% de las detecciones han afectado a entornos empresariales que utilizan dispositivos Apple gestionados de forma centralizada.

El riesgo es especialmente alto en contextos donde los usuarios tienen permisos de administrador o donde la gestión de endpoints carece de soluciones EDR especializadas para macOS. El impacto económico potencial incluye desde el robo de activos digitales hasta el acceso no autorizado a sistemas corporativos, con posibles incumplimientos de GDPR y NIS2 en caso de filtración de datos personales o críticos.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a SHub Reaper, se recomienda implementar las siguientes medidas:

– **Verificación de fuentes:** Descargar aplicaciones exclusivamente desde las páginas oficiales o la Mac App Store.
– **Restricción de permisos:** Limitar la concesión de permisos de accesibilidad y automatización a aplicaciones verificadas.
– **EDR para macOS:** Desplegar soluciones de detección y respuesta específicas para macOS que monitoricen el uso de AppleScript y cambios en permisos de accesibilidad.
– **Educación y concienciación:** Capacitar a los usuarios sobre los riesgos de instalar software desde fuentes no verificadas y sobre cómo identificar instaladores sospechosos.
– **Monitorización de IoC:** Integrar los indicadores de compromiso conocidos en las plataformas SIEM y sistemas de alerta temprana.

### 6. Opinión de Expertos

Varios analistas del sector, como los equipos de threat hunting de SentinelOne y Jamf, han destacado la sofisticación de esta nueva oleada de malware para macOS. Señalan que el uso de AppleScript representa un cambio de paradigma, ya que reduce la fricción para el usuario y aprovecha lagunas en la protección nativa. “El incremento en la automatización de la infección y la focalización en aplicaciones ampliamente utilizadas debería servir de llamada de atención para el refuerzo de las políticas de seguridad en dispositivos Apple corporativos”, afirma un analista de Jamf Threat Labs.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que operan con dispositivos macOS deben revisar urgentemente sus procedimientos de gestión de endpoints y reforzar las políticas de control de aplicaciones. La tendencia a utilizar frameworks de automatización como AppleScript podría extenderse a otras familias de malware, por lo que es crucial anticipar este vector en los ejercicios de threat modeling y pentesting.

Para los usuarios finales, el riesgo de compromiso de credenciales y activos digitales es elevado, especialmente en sectores donde la movilidad y el BYOD (Bring Your Own Device) son habituales. El cumplimiento de GDPR y NIS2 puede verse comprometido ante una brecha de datos originada por la acción de SHub Reaper.

### 8. Conclusiones

El caso de SHub Reaper subraya la necesidad de adaptar las estrategias de defensa a las nuevas tácticas empleadas por los actores de amenazas en el ecosistema macOS. La combinación de ingeniería social, automatización mediante AppleScript y suplantación de aplicaciones legítimas supone un desafío relevante para equipos SOC, CISOs y responsables de cumplimiento. La vigilancia proactiva y la actualización constante de los controles técnicos y procedimentales son, hoy más que nunca, imprescindibles.

(Fuente: www.darkreading.com)