Reaper竊資程式混合冒充蘋果、微軟、Google,攻擊macOS用戶並建立後門
來源: iThome | SentinelOne研究 | 2026-05-19 URL: https://www.ithome.com.tw/news/175921 Blog ID: 437
摘要
SentinelOne發現新型macOS竊資程式 Reaper(SHub Stealer變種),冒充蘋果、微軟、Google三大廠商發動攻擊,竊取瀏覽器資料、加密貨幣錢包、機密文件,並建立持續性後門。
攻擊鏈各階段
| 階段 | 冒充對象 | 手法 |
|---|---|---|
| 惡意程式託管 | 微軟(mlcrosoft[.]co[.]com 誤植域名) | 收集遙測資料 |
| 執行階段 | 蘋果安全更新 | AppleScript預載惡意程式 |
| 持續性攻擊 | Google軟體更新目錄 | LaunchAgent每60秒回報C2 |
關鍵技術細節
初期偵察(JavaScript蒐集)
- IP位址、地點、WebGL指紋、VM/VPN偵測
- 偵測瀏覽器擴充:1Password、Bitwarden、LastPass、MetaMask、Phantom
- 資料透過 Telegram bot 回傳攻擊者
執行手法(繞過安全防護)
- 使用
applescript://xn--macos-wo0i9649a開啟Script Editor - 完全跳過Terminal,繞過macOS Tahoe 26.4安全防護
- 清除屬性繞過 Gatekeeper
- 利用macOS內建工具,難以被傳統防毒偵測
持續性後門
- 建立偽裝Google更新的代理程式:
com.google.keystone.agent.plist - 每60秒向C2伺服器回報並下載指令
竊取目標範圍
- 瀏覽器: Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc、Orion及其擴充程式
- 加密錢包: Exodus、Atomic Wallet、Ledger Live、Trezor Suite、MetaMask、Phantom
- 系統資料: macOS Keychain、iCloud帳號、Telegram session、開發人員配置檔
- 文件: 桌面與文件資料夾(類似AMOS的Filegrabber機制)
防禦建議
- 留意 Script Editor 是否出現可疑對外連線
- 檢查系統中是否有透過 LaunchAgents 建立、以信賴廠商名義安裝的異常檔案
衍生頁面
- Reaper macOS竊資程式冒充蘋果微軟Google攻擊並建立後門 — 主概念頁面
- sentinelone — 研究機構