Reaper竊資程式混合冒充蘋果、微軟、Google,攻擊macOS用戶並建立後門
來源: iThome | SentinelOne研究 | 2026-05-19 URL: https://www.ithome.com.tw/news/175920 Blog ID: 438
本文與 ithome-175921-reaper-macos-stealer 報導相同事件,內容大致相同。
摘要
SentinelOne發現新型macOS竊資程式 Reaper,為 SHub Stealer變種,冒充Apple、Microsoft、Google三大廠商攻擊macOS用戶,手法更複雜且具持續性後門能力。
關鍵技術細節
初始偵察
- 網站JavaScript蒐集:IP位址、地點、WebGL指紋、VM/VPN資訊
- 偵測已安裝外掛:1Password、Bitwarden、LastPass、MetaMask、Phantom
- 資料透過 Telegram bot 回傳攻擊者
執行機制
- 使用
applescript://xn--macos-wo0i9649a開啟Script Editor,預載惡意AppleScript - 完全跳過Terminal,可繞過macOS Tahoe 26.4安全防護
- 能清除屬性繞過Gatekeeper
- 利用macOS內建工具,難以被傳統防毒偵測
持續性後門
- 建立冒充Google軟體更新的LaunchAgent
- 每60秒向C2伺服器回報並下載指令
竊取目標範圍
- 瀏覽器: Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc、Orion及其擴充程式
- 加密貨幣錢包: Exodus、Atomic Wallet、Ledger Live、Trezor Suite、MetaMask、Phantom
- 系統資料: macOS Keychain、iCloud帳號、Telegram session、開發人員配置檔
- 檔案: 桌面與文件資料夾重要檔案(類似AMOS的Filegrabber元件)
衍生頁面
- Reaper macOS竊資程式冒充蘋果微軟Google攻擊並建立後門 — 主概念頁面
- sentinelone — 研究機構