Zum Inhalt springen

SHub-Variante Reaper nutzt gefälschte Apple-Updates zur Malware-Installation auf macOS

Auf den Punkt: SHub Reaper umgeht Apples Terminal-Schutzmaßnahmen durch AppleScript-Execution, stiehlt Browserdaten und Kryptowallet-Zugriffe, und wird über gefälschte WeChat-, Miro- und QQ-Installer verbreitet.

Eine neue Variante des macOS-Infostealer SHub, Reaper genannt, täuscht Apple-Sicherheitsupdates vor und installiert über AppleScript eine Backdoor. Sie umgeht damit Apples März-Update macOS Tahoe 26.4, das Terminal-basierte Angriffsmethoden blockiert.

Die von SentinelOne-Forscher:innen identifizierte Reaper-Variante nutzt das applescript:// URL-Schema, um den macOS Script Editor mit vorgeladenem bösartigen AppleScript zu starten. Diese Methode umgeht die Schutzmaßnahmen von macOS Tahoe 26.4, das im März 2026 das Einfügen und Ausführen potenziell schädlicher Befehle im Terminal blockierte. Bisherige SHub-Kampagnen setzten auf ClickFix-Taktiken, bei denen Nutzer:innen manuell Befehle in Terminal eintrugen.

Die Malware wird über gefälschte Installer für WeChat, Miro und QQ verbreitet, gehostet auf domänen wie qq-0732gwh22[.]com, mlcrosoft[.]co[.]com und mlroweb[.]com. Vor der Ausführung sammelt die Malware Geräteinformationen ein, um virtuelle Maschinen, VPNs und installierte Browser-Erweiterungen zu erkennen. Diese Telemetrie wird über einen Telegram-Bot an den Angreifer übermittelt. Falls Nutzer:innen ein russisches Tastaturlayout verwenden, wird die Infektion abgebrochen und ein ‘cis_blocked’-Event gemeldet.

Nach Ausführung des AppleScript zeigt Reaper eine gefälschte Apple-Sicherheitsmitteilung an, lädt ein Shell-Script herunter und führt es via zsh aus. Das Infostealer-Modul fordert dann das macOS-Passwort an, um auf Keychain-Daten zuzugreifen, und stiehlt Browserdaten aus Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc und Orion. Das Malware-Spektrum umfasst außerdem Kryptowallet-Erweiterungen (MetaMask, Phantom), Password-Manager (1Password, Bitwarden, LastPass), Desktop-Wallets (Exodus, Atomic Wallet, Ledger Live, Electrum, Trezor Suite), iCloud-Daten und Telegram-Sitzungen.

Das „Filegrabber”-Modul durchsucht Desktop und Dokumente nach sensitiven Dateitypen und sammelt Dateien bis 2 MB Größe (6 MB bei PNG-Bildern), mit einer maximalen Gesamtmenge von 150 MB. Bei Vorhandensein von Wallet-Anwendungen termininiert Reaper deren Prozesse und ersetzt die legitimen Anwendungsdateien durch präparierte Versionen (app.asar). Um Gatekeeper-Warnungen zu vermeiden, werden Quarantäne-Attribute mit xattr -cr entfernt und selbstsignierte Code-Signing-Zertifikate verwendet.


Quelle: ainews-dev.lumi-systems.io · Erschienen 19. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.

Share on: