Reaper macOS竊資程式冒充蘋果微軟Google攻擊並建立後門

Reaper 是 SentinelOne 2026年5月發現的新型 macOS 竊資程式(SHub Stealer 變種),以混合冒充 Apple、Microsoft、Google 三大廠商的手法攻擊 macOS 用戶,同時建立持續性後門,是 macOS 惡意程式中少見兼具竊資與 C2 持久化能力的樣本。

攻擊鏈

階段冒充對象技術
誘餌頁面Microsoft誤植域名 mlcrosoft[.]co[.]com
執行AppleAppleScript 預載(繞過 Terminal)
持久化Googlecom.google.keystone.agent.plist LaunchAgent,每60秒回報 C2

技術亮點

  • JavaScript 初始偵察:WebGL 指紋、VM/VPN 偵測、錢包外掛清單,資料透過 Telegram bot 回傳攻擊者
  • Gatekeeper 繞過:清除 quarantine 屬性,利用 applescript:// URI scheme 而非 Terminal,繞過 macOS Tahoe 26.4 安全防護
  • 廣泛竊取範圍:Chrome/Firefox/Brave/Edge 等瀏覽器、Exodus/MetaMask/Phantom 等加密錢包、macOS Keychain、iCloud 帳號、開發人員配置檔

相關惡意程式對照

  • SHub Stealer:Reaper 的前身/變種基底
  • AMOS Stealer:同樣採用 Filegrabber 元件竊取桌面與文件資料夾

防禦建議

  • 監控 Script Editor 是否出現異常網路連線
  • 審查 LaunchAgents 目錄中以知名廠商名義安裝的 plist 檔案

來源文章

相關頁面