La nueva variante de malware SHub Stealer se dirige a Chrome, Firefox, Brave, Edge, Opera y Crypto Wallets

Ha surgido una nueva y peligrosa variante del malware SHub Stealer que está dirigida a usuarios de macOS mediante técnicas más avanzadas y difíciles de detectar. Esta versión actualizada, denominada Reaper, se distribuye a través de sitios web fraudulentos que imitan programas legítimos y populares, engañando a los usuarios para que descarguen archivos maliciosos.

Una vez que logra infectar el sistema, el malware puede recopilar silenciosamente información sensible, incluyendo credenciales almacenadas en navegadores y datos de billeteras de criptomonedas, antes de que la víctima note alguna actividad sospechosa. Investigadores de Moonlock identificaron esta nueva campaña y señalaron que es la tercera vez en menos de dos meses que la técnica automatizada conocida como ClickFix aparece en campañas de malware dirigidas a macOS.

Según un informe de Moonlock compartido con Cyber Security News (CSN), el uso automatizado de ClickFix está ganando popularidad entre los actores de amenazas que operan en entornos macOS, quienes suelen adoptar y replicar tácticas que han demostrado ser efectivas en ataques anteriores.

La variante Reaper representa una evolución importante respecto a las versiones previas de SHub Stealer. El malware está diseñado para comprometer diversos navegadores web y billeteras de criptomonedas, permitiendo a los atacantes obtener acceso a información financiera y credenciales almacenadas en los equipos afectados.

Los expertos recomiendan mantener el sistema operativo y las soluciones de seguridad actualizadas para aumentar las probabilidades de detectar y bloquear nuevas variantes de malware antes de que puedan causar daños significativos.

Indicadores de Compromiso (IoC)

• Dominio: mlcrosoft[.]co[.]com
  • Dominio con errores tipográficos que imita a Microsoft y es utilizado para alojar archivos maliciosos.
• URL: support.apple[.]com/downloads/xprotect-remediator-150.dmg
  • Enlace falso que suplanta una actualización de seguridad de Apple para distribuir malware.
• URL: hebsbsbzjsjshduxbs[.]xyz/gate/chunk
  • Punto de comunicación y control (C2) utilizado para la extracción de información robada.
• Ruta de archivo: ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/
  • Directorio creado por Reaper para ocultar una puerta trasera simulando una actualización legítima de Google.
• Nombre de archivo: GoogleUpdate
  • Archivo utilizado por el malware para mantener la persistencia en el sistema.
• Script codificado: Bash codificado en Base64.
  • Empleado como parte del mecanismo de persistencia de la puerta trasera.
• LaunchAgent: com.google.keystone.agent.plist
  • Archivo de configuración utilizado para registrar y mantener activa la puerta trasera en macOS.

Nota: Las direcciones IP y dominios han sido modificados intencionalmente mediante el uso de [.] para evitar su resolución accidental o la creación automática de enlaces.

La publicación "La nueva variante de malware SHub Stealer apunta a Chrome, Firefox, Brave, Edge, Opera y billeteras de criptomonedas" apareció originalmente en Cyber Security News.

Consultar publicación original ↗