Reaper竊資程式混合冒充蘋果、微軟、Google,攻擊macOS用戶並建立後門

來源: iThome | SentinelOne研究 | 2026-05-19 URL: https://www.ithome.com.tw/news/175921 Blog ID: 437

摘要

SentinelOne發現新型macOS竊資程式 Reaper(SHub Stealer變種),冒充蘋果、微軟、Google三大廠商發動攻擊,竊取瀏覽器資料、加密貨幣錢包、機密文件,並建立持續性後門。

攻擊鏈各階段

階段冒充對象手法
惡意程式託管微軟(mlcrosoft[.]co[.]com 誤植域名)收集遙測資料
執行階段蘋果安全更新AppleScript預載惡意程式
持續性攻擊Google軟體更新目錄LaunchAgent每60秒回報C2

關鍵技術細節

初期偵察(JavaScript蒐集)

  • IP位址、地點、WebGL指紋、VM/VPN偵測
  • 偵測瀏覽器擴充:1Password、Bitwarden、LastPass、MetaMask、Phantom
  • 資料透過 Telegram bot 回傳攻擊者

執行手法(繞過安全防護)

  • 使用 applescript://xn--macos-wo0i9649a 開啟Script Editor
  • 完全跳過Terminal,繞過macOS Tahoe 26.4安全防護
  • 清除屬性繞過 Gatekeeper
  • 利用macOS內建工具,難以被傳統防毒偵測

持續性後門

  • 建立偽裝Google更新的代理程式:com.google.keystone.agent.plist
  • 每60秒向C2伺服器回報並下載指令

竊取目標範圍

  • 瀏覽器: Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc、Orion及其擴充程式
  • 加密錢包: Exodus、Atomic Wallet、Ledger Live、Trezor Suite、MetaMask、Phantom
  • 系統資料: macOS Keychain、iCloud帳號、Telegram session、開發人員配置檔
  • 文件: 桌面與文件資料夾(類似AMOS的Filegrabber機制)

防禦建議

  • 留意 Script Editor 是否出現可疑對外連線
  • 檢查系統中是否有透過 LaunchAgents 建立、以信賴廠商名義安裝的異常檔案

衍生頁面