Reaper竊資程式混合冒充蘋果、微軟、Google,攻擊macOS用戶並建立後門

來源: iThome | SentinelOne研究 | 2026-05-19 URL: https://www.ithome.com.tw/news/175920 Blog ID: 438

本文與 ithome-175921-reaper-macos-stealer 報導相同事件,內容大致相同。

摘要

SentinelOne發現新型macOS竊資程式 Reaper,為 SHub Stealer變種,冒充Apple、Microsoft、Google三大廠商攻擊macOS用戶,手法更複雜且具持續性後門能力。

關鍵技術細節

初始偵察

  • 網站JavaScript蒐集:IP位址、地點、WebGL指紋、VM/VPN資訊
  • 偵測已安裝外掛:1Password、Bitwarden、LastPass、MetaMask、Phantom
  • 資料透過 Telegram bot 回傳攻擊者

執行機制

  • 使用 applescript://xn--macos-wo0i9649a 開啟Script Editor,預載惡意AppleScript
  • 完全跳過Terminal,可繞過macOS Tahoe 26.4安全防護
  • 清除屬性繞過Gatekeeper
  • 利用macOS內建工具,難以被傳統防毒偵測

持續性後門

  • 建立冒充Google軟體更新的LaunchAgent
  • 每60秒向C2伺服器回報並下載指令

竊取目標範圍

  • 瀏覽器: Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc、Orion及其擴充程式
  • 加密貨幣錢包: Exodus、Atomic Wallet、Ledger Live、Trezor Suite、MetaMask、Phantom
  • 系統資料: macOS Keychain、iCloud帳號、Telegram session、開發人員配置檔
  • 檔案: 桌面與文件資料夾重要檔案(類似AMOS的Filegrabber元件)

衍生頁面