Nový virus na Macu se tváří jako aktualizace od Applu, Googlu i Microsoftu. Krade hesla a nikdo ho nepozná
Malware SHub Reaper střídá v jediném útoku identity tří technologických gigantů, aby z Macu vytáhl hesla, kryptopeněženky i dokumenty, a pak v něm zůstal.
Obsah článku
Bezpečnostní analytik Phil Stokes ze SentinelOne publikoval 18. května 2026 rozbor nové varianty infostealeru pro macOS s interním označením SHub Reaper. Nejde o běžný škodlivý program, který se vydává za jednu falešnou aktualizaci. Reaper v různých fázích útoku postupně obléká masku Microsoftu, Applu a Googlu, pokaždé tam, kde to dává pro oběť největší smysl. Oběť nejprve narazí na podvrženou microsoftí doménu, po kliknutí vidí hlášku o stahování bezpečnostní aktualizace od Applu a po infekci se malware v systému schovává pod názvem připomínajícím Google updater. Krade přitom přihlašovací heslo k macOS, obsah Keychainu, data z prohlížečů, kryptopeněženky i citlivé dokumenty. A protože celý řetězec běží přes důvěryhodné systémové procesy jako Script Editor a osascript, běžný uživatel si infekce nemusí vůbec všimnout.
Tři značky, jeden podvod
Trojí maskování není náhoda ani marketingový trik útočníků, každá značka plní v řetězci konkrétní roli. Vstupním bodem je webová stránka na doméně mlcrosoft.co.com, která na první pohled vypadá jako legitimní microsoftí stránka. Nabízí ke stažení falešný instalátor aplikací WeChat nebo Miro. Obě aplikace se běžně instalují mimo App Store, takže ruční instalace nemusí vzbudit okamžité podezření.
Jakmile uživatel soubor otevře, macOS spustí Script Editor s připraveným AppleScriptem. V okně editoru je škodlivý příkaz odsunutý mimo viditelnou část, takže oběť vidí jen nevinně vypadající obsah. Po kliknutí na „Run“ se na obrazovce objeví falešná hláška o stahování bezpečnostní aktualizace Apple XProtectRemediator, tedy nástroje, který Apple skutečně používá k odstraňování malwaru. Uživatel zadá systémové heslo v domnění, že povoluje legitimní aktualizaci.
Třetí značka přichází po infekci. Malware si v systému založí trvalou přítomnost pod cestou ~/Library/Application Support/Google/GoogleUpdate.app a pomocí LaunchAgenta pojmenovaného com.google.keystone.agent.plist. Obojí napodobuje skutečný Google updater, který na Macu používá Chrome. Kdo by se podíval do systémových složek, uvidí něco, co tam zdánlivě patří.
Co všechno Reaper bez potíží ukradne
Rozsah krádeže je mimořádný. Reaper sbírá:
- přihlašovací heslo k macOS zadané při falešné aktualizaci
- kompletní obsah macOS Keychainu včetně uložených hesel a certifikátů
- data z prohlížečů Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc i Orion
- rozšíření prohlížečů a iCloud data
- desktopové kryptopeněženky Exodus, Atomic Wallet, Ledger Live, Electrum a Trezor Suite včetně seed frází
- dokumenty z plochy a složky Dokumenty s příponami jako .docx, .xls, .json, .rdp, .wallet nebo .key (s limitem 150 MB)
Starší varianta SHub podle analýzy Malwarebytes z března 2026 navíc kradla Safari cookies, Apple Notes, relace Telegramu nebo historii shellu. Reaper tento záběr doplňuje o postupné uploady souborů po 70 MB, aby exfiltrace dat nebyla tak nápadná.
Skutečně nebezpečné ale je to, co přijde po krádeži. LaunchAgent spouští každých 60 sekund skript, který se hlásí na vzdálený server. Pokud server vrátí příkaz, malware ho dekóduje, zapíše do dočasného souboru, spustí a smaže. Útočníci tak získávají trvalý vzdálený přístup k Macu, mohou spouštět libovolné příkazy, stahovat další malware nebo pokračovat v krádeži dat kdykoli v budoucnu.
Běžná ochrana ho nemusí zachytit
Apple v macOS integruje XProtect s automatickými aktualizacemi a behaviorální detekcí. Jenže Reaper záměrně staví na důvěryhodných systémových procesech (Script Editor, osascript, shell). Hlavní exfiltrační AppleScript se může spustit bez zápisu na disk, takže klasické skenování souborů nemá co zachytit. SentinelOne výslovně uvádí, že tento model usnadňuje obcházení nástrojů pro skenování souborů včetně XProtectu.
Apple na rostoucí vlnu sociálně-inženýrských útoků reaguje. V macOS Tahoe 26.4 z března 2026 přidal kontroly proti vkládání podezřelých příkazů do Terminalu a zvýšil ochranu i u Script Editoru. V červnu 2026 pak publikoval samostatný návod pro uživatele, jejichž Mac zablokuje vložení příkazu nebo spuštění skriptu. Reaper ale právě tyto nové brzdy obchází přesunem ze staršího vstupního bodu (Terminal) na Script Editor s odkazem applescript://. Tahoe 26.4 útok ztěžuje, ale pokud uživatel schválí otevření editoru a klikne na Run, infekce může pokračovat.
Jak poznat napadení PC a co dělat
Pokud jste v posledních měsících otevřeli podezřelý instalátor, viděli hlášku o stahování XProtect aktualizace nebo zadali systémové heslo v neobvyklém kontextu, zkontrolujte tyto stopy:
- soubor ~/Library/LaunchAgents/com.google.keystone.agent.plist
- složka ~/Library/Application Support/Google/GoogleUpdate.app (pokud nepoužíváte Chrome nebo jiný produkt Googlu, nemá tam co dělat)
- dočasné soubory /tmp/.c.sh, /tmp/shub_split.sh nebo /tmp/shub_log.zip
- neočekávané změny v kryptopeněženkách Exodus, Atomic Wallet, Ledger Live nebo Trezor Suite
Při podezření na kompromitaci je prioritou přestat Mac používat pro citlivé účty. Z jiného čistého zařízení změňte hesla k e-mailu, Apple ID, bankovnictví a pracovním službám. Odhlaste aktivní relace a zneplatněte API a SSH tokeny. Seed fráze a hesla ke kryptopeněženkám považujte za prozrazené; prostředky převeďte do nové peněženky vytvořené na čistém zařízení. Teprve pak spusťte důkladnou kontrolu bezpečnostním nástrojem a odstraňte nalezené stopy.
Nejde o laboratorní kuriozitu
SHub Reaper není ojedinělý experiment. Jamf Threat Labs v dubnu 2026 zdokumentoval velmi podobný přesun Atomic Stealeru z Terminalu do Script Editoru. Malwarebytes v březnu popsali starší kampaň SHub šířenou přes falešný web CleanMyMac i zcela jiný infostealer Infiniti postavený na Pythonu. Veřejné analýzy zatím nedokládají konkrétní českou distribuční vlnu, ale Reaper aktivně blokuje pouze hosty vyhodnocené jako region SNS; české uživatele ze zásahu nijak nevyjímá. Kampaň není připsaná konkrétní skupině, motivace je ale čitelně finanční: hesla, krypto, dokumenty a trvalý přístup.
Jedna důvěřivá akce, jedno kliknutí na „Run“ a zadání hesla stačí k tomu, aby útočníci získali nejen vaše data, ale i dveře, kterými se mohou vracet.