Reaper macOS竊資程式冒充蘋果微軟Google攻擊並建立後門
Reaper 是 SentinelOne 2026年5月發現的新型 macOS 竊資程式(SHub Stealer 變種),以混合冒充 Apple、Microsoft、Google 三大廠商的手法攻擊 macOS 用戶,同時建立持續性後門,是 macOS 惡意程式中少見兼具竊資與 C2 持久化能力的樣本。
攻擊鏈
| 階段 | 冒充對象 | 技術 |
|---|---|---|
| 誘餌頁面 | Microsoft | 誤植域名 mlcrosoft[.]co[.]com |
| 執行 | Apple | AppleScript 預載(繞過 Terminal) |
| 持久化 | com.google.keystone.agent.plist LaunchAgent,每60秒回報 C2 |
技術亮點
- JavaScript 初始偵察:WebGL 指紋、VM/VPN 偵測、錢包外掛清單,資料透過 Telegram bot 回傳攻擊者
- Gatekeeper 繞過:清除 quarantine 屬性,利用
applescript://URI scheme 而非 Terminal,繞過 macOS Tahoe 26.4 安全防護 - 廣泛竊取範圍:Chrome/Firefox/Brave/Edge 等瀏覽器、Exodus/MetaMask/Phantom 等加密錢包、macOS Keychain、iCloud 帳號、開發人員配置檔
相關惡意程式對照
- SHub Stealer:Reaper 的前身/變種基底
- AMOS Stealer:同樣採用 Filegrabber 元件竊取桌面與文件資料夾
防禦建議
- 監控 Script Editor 是否出現異常網路連線
- 審查 LaunchAgents 目錄中以知名廠商名義安裝的 plist 檔案
來源文章
- ithome-175921-reaper-macos-stealer — iThome 報導(ID 437)
- ithome-175920-reaper-macos-stealer — iThome 報導(ID 438,同一事件第二篇)
相關頁面
- sentinelone — 發現此惡意程式的資安公司