Uma nova variante do infostealer SHub, chamada Reaper, foi identificada como uma ameaça significativa para usuários de macOS. Utilizando AppleScript, o malware exibe uma mensagem falsa de atualização de segurança e instala uma backdoor no sistema. Ao contrário das campanhas anteriores que dependiam de táticas de ‘ClickFix’, o Reaper utiliza o esquema de URL applescript:// para lançar o Editor de Script do macOS com um AppleScript malicioso. Essa abordagem contorna as mitig ações introduzidas pela Apple em março de 2023, que bloqueavam comandos potencialmente prejudiciais no Terminal.
Os pesquisadores da SentinelOne descobriram que os usuários eram atraídos por instaladores falsos de aplicativos como WeChat e Miro, hospedados em domínios que parecem legítimos. O malware coleta dados sensíveis de navegadores, documentos que podem conter informações financeiras e hijackea aplicativos de carteira de criptomoedas. Além disso, ele verifica se o dispositivo da vítima está usando um teclado russo, evitando infecções em sistemas que correspondem a esse critério. O Reaper também estabelece persistência no sistema, instalando um script que se comporta como uma atualização de software do Google e se comunica com um servidor de comando e controle (C2). A ameaça é considerada crítica, pois pode comprometer dados sensíveis e permitir acesso remoto ao dispositivo da vítima.
Fonte: https://www.bleepingcomputer.com/news/security/shub-macos-infostealer-variant-spoofs-apple-security-updates/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
18/05/2026 • Risco: CRITICO
MALWARE
Nova variante do infostealer SHub para macOS usa AppleScript
RESUMO EXECUTIVO
O infostealer Reaper representa uma ameaça significativa para usuários de macOS, utilizando técnicas sofisticadas para roubar dados sensíveis e comprometer a segurança financeira. A detecção e mitigação imediata são essenciais para proteger os dados dos usuários e garantir a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de dados e compromissos de contas.
Operacional
Roubo de dados sensíveis, comprometimento de carteiras de criptomoedas e acesso a informações financeiras.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Educação']
📊 INDICADORES CHAVE
O malware coleta dados de navegadores como Chrome, Firefox e Edge.
Indicador
Alvos incluem extensões de gerenciadores de senhas como 1Password e LastPass.
Contexto BR
O módulo Filegrabber busca arquivos menores que 2MB ou até 6MB para PNGs.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há scripts suspeitos registrados como LaunchAgents.
2
Implementar monitoramento de tráfego de saída e verificar a integridade dos aplicativos instalados.
3
Monitorar continuamente atividades no Script Editor e novos arquivos LaunchAgents.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança dos dados sensíveis de seus usuários e a possibilidade de compromissos financeiros.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
