Varian Baru Malware macOS “SHub” Menyamar Sebagai Pembaruan Keamanan Resmi Apple

Komunitas pengguna macOS kini harus meningkatkan kewaspadaan. Varian terbaru dari malware infostealer terkenal SHub, yang diberi nama Reaper, dilaporkan tengah aktif menyebar. Malware ini memanfaatkan skrip otomatisasi AppleScript untuk menampilkan pesan pembaruan keamanan palsu guna mengelabui korban, menguras data sensitif, hingga menanamkan backdoor (pintu belakang) persisten pada perangkat Mac.

Berdasarkan laporan dari tim peneliti keamanan SentinelOne, varian Reaper ini dirancang khusus untuk melewati sistem proteksi terbaru yang baru saja diterapkan Apple pada pembaruan sistem operasi teranyarnya.

Taktik Baru: Melewati Mitigasi “macOS Tahoe 26.4”

Pada kampanye SHub sebelumnya, pelaku mengandalkan taktik “ClickFix”, yaitu menipu pengguna agar menyalin kode berbahaya lalu menempelkannya (paste) secara manual ke dalam aplikasi Terminal.

Untuk menyumbat taktik tersebut, Apple merilis pembaruan macOS Tahoe 26.4 pada akhir Maret 2026 yang secara otomatis memblokir aksi copy-paste perintah berbahaya ke Terminal. Namun, varian Reaper memutar otak dengan taktik baru:

1. Penyalahgunaan URL Scheme: Malware ini memanfaatkan skema URL applescript:// untuk meluncurkan aplikasi bawaan Mac, Script Editor, secara otomatis saat korban mengunjungi situs web jebakan.
2. Pemuatan Skrip Otomatis: Script Editor tersebut akan langsung terbuka dalam kondisi sudah terisi (preloaded) dengan kode AppleScript berbahaya yang disembunyikan di balik seni teks ASCII (ASCII art). Ketika pengguna yang panik atau tidak curiga mengklik tombol ‘Run’, skrip jahat akan langsung dieksekusi.

Modus Umpan Aplikasi Populer & Pengecekan Sistem

Pelaku menyebarkan malware ini melalui situs web palsu yang menyamar sebagai pengunduh aplikasi resmi seperti WeChat (QQ) dan platform kolaborasi Miro dengan nama domain tiruan (contoh: qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com).

Sebelum skrip dijalankan, situs web berbahaya tersebut akan melakukan pemindaian karakteristik perangkat (fingerprinting) untuk mendeteksi penggunaan Virtual Machine (VM) atau VPN (yang mengindikasikan komputer analisis milik peneliti keamanan). Seluruh data awal ini dikirimkan ke pelaku lewat bot Telegram.

🇷🇺 Pengecualian Wilayah Jaringan (CIS Blocked): Begitu masuk ke sistem, malware akan memeriksa tata letak papan ketik (keyboard layout). Jika mendeteksi input bahasa Rusia, malware akan melaporkan status cis_blocked ke server C2 dan langsung keluar dari sistem tanpa menginfeksi perangkat.

Target Data yang Diincar dan Injeksi Aplikasi Dompet

Jika perangkat lolos dari pengecekan wilayah, Reaper akan memicu jendela pop-up palsu yang mengatasnamakan fitur keamanan resmi XProtectRemediator untuk meminta kata sandi admin macOS (user password). Begitu kata sandi didapatkan, malware akan menguras data berikut:

• Data Peramban: Mengincar Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc, dan Orion.
• Ekstensi Pengelola Kata Sandi: Mencuri basis data dari 1Password, Bitwarden, dan LastPass.
• Ekstensi & Aplikasi Kripto: Menargetkan MetaMask, Phantom, Exodus, Atomic Wallet, Ledger Live, Electrum, dan Trezor Suite.
• Data Cloud & Chat: Menguras sesi data Telegram serta akun iCloud.
• Modul Filegrabber: Secara otomatis memindai folder Desktop dan Documents untuk mencuri file dokumen dan gambar (PNG) sensitif yang berukuran di bawah 2MB hingga 6MB, dengan batas kuota total ekstraksi sebesar 150MB.

Pembajakan Aplikasi Dompet Kripto (Wallet Injection)

Jika menemukan aplikasi dompet digital versi desktop di Mac korban, malware akan mematikan proses aplikasi tersebut secara paksa, lalu mengganti file inti aplikasi dengan file berbahaya bernama app.asar yang diunduh dari server C2. Untuk menghindari peringatan pemblokiran dari fitur Gatekeeper milik Apple, malware mengeksekusi perintah xattr -cr untuk menghapus atribut karantina file, kemudian menandai ulang paket aplikasi tersebut menggunakan teknik ad hoc code signing.

Persistensi Melalui LaunchAgent Palsu

Guna memastikan penyerang mempertahankan akses jangka panjang, SHub Reaper menanamkan mekanisme bertahan (persistence) dengan menyamar sebagai skrip pembaruan perangkat lunak Google (Google software update).

Malware mendaftarkan skrip ini ke dalam direktori LaunchAgent sistem untuk dieksekusi secara otomatis setiap satu menit. Skrip ini bertindak sebagai beacon (suar) yang terus melaporkan status sistem ke server C2, siap menerima, mendekripsi, serta mengeksekusi beban kerja (payload) sekunder yang dikirimkan oleh peretas di kemudian hari.

Rekomendasi Pertahanan bagi Pengguna Mac

SentinelOne menyarankan tim pembela jaringan dan administrator sistem untuk memperketat pengawasan pada lingkungan perangkat macOS dengan langkah-langkah berikut:

1. Pantau Aktivitas Script Editor: Lakukan audit atau blokir lalu lintas jaringan keluar (outbound traffic) yang dipicu secara mencurigakan langsung setelah aplikasi Script Editor dijalankan.
2. Periksa Folder LaunchAgents: Lakukan pemindaian berkala pada direktori ~/Library/LaunchAgents untuk mencari file konfigurasi baru yang menggunakan nama vendor tepercaya (seperti Google atau Apple) namun memiliki perilaku eksekusi yang tidak dikenal.
3. Edukasi Pengguna: Edukasi tim pengembang atau staf operasional agar tidak pernah memasukkan kredensial kata sandi utama macOS pada jendela pop-up yang muncul secara mendadak setelah membuka tautan atau aplikasi dari luar Apple Store resmi.