HTML-Quellcode, der den Aufbau des bösartigen AppleScript zeigt. Bildnachweis: SentinelOne
Sicherheitsforscher sagen, ein neuer macOS-Infostealer namens SHub Reaper tarnt sich als Apple-Sicherheitssoftware, um Passwörter, Kryptowährungs-Wallets und sensible Dateien zu stehlen.
Die Malware missbraucht AppleScript und legitime macOS-Systemprozesse, um ihre Aktivitäten zu verbergen und einige herkömmliche Malware-Scan-Tools zu umgehen.
Laut SentinelOne handelt es sich bei Reaper um eine weiterentwickelte Version der SHub-Stealer-Malware-Familie, die seit zwei Jahren in kriminellen Kampagnen mit Fokus auf macOS verbreitet wird. Frühere SHub-Varianten stützten sich auf gefälschte Installationsprogramme und „ClickFix“-Social-Engineering-Tricks, die Opfer dazu drängten, bösartige Befehle in Terminal einzufügen.
Reaper erweitert diese Taktiken, indem es vertrauenswürdige macOS-Tools und bekanntes Branding missbraucht, um die Malware legitim erscheinen zu lassen. Angreifer verschieben diesen Prozess nun über den in den Skript-Editor `applescript://` URL-Schema.
Die Änderung trägt dazu bei, einige der Schutzmaßnahmen zu umgehen, die Apple in macOS Tahoe 26.4 für terminalbasierte Angriffsketten hinzugefügt hat. Verschiedene Phasen der Infektionskette verwenden unterschiedliche Tarnungen, um die Malware legitim erscheinen zu lassen.
Opfer können gefälschte WeChat- oder Miro-Installationsprogramme von Domänen herunterladen, die der Microsoft-Infrastruktur ähneln sollen. In späteren Phasen werden gefälschte Apple-Sicherheitsupdates präsentiert und Persistenzdateien in Verzeichnissen versteckt, die Google Software Update-Komponenten imitieren.
Der Angriff beginnt mit bösartigen Websites, die Fingerabdrücke von Besuchern erfassen, bevor sie Malware-Payloads bereitstellen. Webseiten sammeln Systeminformationen, WebGL-Daten, VPN-Indikatoren, Browsererweiterungen und Anzeichen von virtuellen Maschinen oder Sicherheitsforschungstools.
Skripte suchen nach Passwort-Managern wie 1Password, Bitwarden und LastPass sowie nach Kryptowährungs-Wallet-Erweiterungen wie MetaMask und Phantom. Websites setzen außerdem Anti-Analyse-Schutzmaßnahmen ein, die Browser-Entwicklertools beeinträchtigen, Verknüpfungen wie F12 abfangen und Debugger-Schleifen auslösen, die die Ausführung wiederholt anhalten.
Einige Seiten ersetzen ihren Inhalt durch eine russischsprachige Meldung „Zugriff verweigert“, nachdem Analyseversuche erkannt wurden.
Nachdem ein Opfer im Skripteditor auf „Ausführen“ geklickt hat, zeigt die Malware ein Apple XProtectRemediator-Sicherheitsupdate an und führt gleichzeitig versteckte Befehle im Hintergrund aus. Angreifer haben das bösartige AppleScript mit gefälschtem Installationstext und ASCII-Grafiken aufgefüllt, um die gefährlichen Befehle unter das sichtbare Fenster zu verschieben.
Böswilliges Verhalten verbirgt sich hinter einem scheinbar routinemäßigen Apple-Sicherheitsprozess. In späteren Phasen werden Benutzer nach ihrem macOS-Passwort gefragt und diese Anmeldeinformationen während der Ausführung erfasst. Den Opfern wird dann ein gefälschter Kompatibilitätsfehler angezeigt, der den Verdacht nach dem Diebstahl verringern soll.
Eine zentrale Rolle in der Angriffskette spielen legitime macOS-Systemprozesse anstelle offensichtlich bösartiger Apps. Angreifer bevorzugen die Ausführung von AppleScript und Shell-Skripten, da sie sich in die normale Systemaktivität einfügen und herkömmliche Dateiscan-Schutzmaßnahmen wie das XProtect-Framework von Apple umgehen.
Reaper weitet sich über den Diebstahl von Anmeldedaten hinaus auf eine dauerhafte macOS-Kompromittierung aus
Der Diebstahl von Zugangsdaten und Kryptowährungs-Wallets bleibt ein zentraler Bestandteil des Verhaltens der Malware. Zu den Zielen gehören Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc und Orion sowie Wallet-Anwendungen wie Exodus, Atomic Wallet, Ledger Live, Electrum und Trezor Suite.
Weitere Diebstahlziele sind macOS-Schlüsselbunddaten, Telegram-Sitzungsinformationen, Browsererweiterungen und entwicklerbezogene Dateien.
Der neuere Build fügt eine Dokumentendiebstahlroutine im AMOS-Stil hinzu. Desktop- und Dokumentenordner werden nach Geschäfts- und Finanzdateien durchsucht, einschließlich Word-Dokumenten, Tabellenkalkulationen, JSON-Dateien, Wallet-Dateien und Remote-Desktop-Konfigurationen.
Dateien über bestimmten Größenschwellenwerten werden übersprungen, einschließlich PNG-Bildern, die größer als 6 MB sind. Die Gesamtsammlung ist auf 150 MB begrenzt, bevor die Malware die gestohlenen Daten komprimiert und in Blöcken in ihre Command-and-Control-Infrastruktur hochlädt.
Nach dem Sammeln der Daten versucht die Malware, Kryptowährungs-Wallet-Anwendungen direkt zu kompromittieren. Aktive Wallet-Prozesse werden beendet, bevor interne Anwendungsressourcen durch vom Angreifer kontrollierte „app.asar“-Dateien ersetzt werden.
In späteren Phasen werden Benutzer nach ihrem macOS-Passwort gefragt und diese Anmeldeinformationen während der Ausführung erfasst. Bildnachweis: SentinelOne
Quarantäneattribute werden anschließend entfernt und Ad-hoc-Codesignatur hilft dabei, dass geänderte Anwendungen weiterhin auf macOS-Systemen ausgeführt werden können.
Persistenz ist eine der größten Änderungen im Reaper-Build. Die Malware installiert einen als Google-Software-Infrastruktur getarnten LaunchAgent im Bibliotheksordner des Benutzers.
Angreifer erstellen eine gefälschte „GoogleUpdate.app“-Struktur und registrieren eine `com.google.keystone.agent.plist` LaunchAgent, der alle 60 Sekunden ausgeführt wird. Der gefälschte LaunchAgent ähnelt stark dem legitimen Keystone-Aktualisierungsdienst von Google, wodurch der Persistenzmechanismus bei gelegentlicher Inspektion schwerer zu erkennen ist.
Remote-Server übermitteln dann zusätzliche Befehle, führen zurückgegebene Nutzlasten mit den Berechtigungen des aktuellen Benutzers aus und löschen anschließend temporäre Dateien.
Durch die Persistenz geht die Malware über den bloßen Diebstahl von Anmeldedaten hinaus. Frühere macOS-Infostealer sammelten oft Daten und verschwanden, aber Reaper behält eine Stellung, die zukünftige Payloads oder Fernzugriff unterstützen kann.
Native Tools, gefälschte Update-Eingabeaufforderungen und vertrauenswürdige Apple-, Microsoft- und Google-Brandings spielen mittlerweile eine größere Rolle in macOS-Malware-Kampagnen. Reaper wechselt zwischen diesen Marken, um bösartige Aktivitäten für viele Benutzer als Routine erscheinen zu lassen.
Wie Mac-Benutzer sicher bleiben können
Benutzer können die Gefährdung durch diese Kampagne reduzieren, indem sie Skripte oder Installationsprogramme von nicht vertrauenswürdigen Websites meiden, insbesondere von Seiten, die behaupten, dass ein manuelles Sicherheitsupdate erforderlich sei. Apple fordert Benutzer normalerweise nicht auf, den Skripteditor zu öffnen und auf „Ausführen“ zu klicken, um Updates zu installieren.
Laut SentinelOne wurden in der Kampagne durch Tippfehler besetzte Domains verwendet, die der Microsoft-Infrastruktur ähneln sollten. Eine sorgfältige Überprüfung der URLs vor dem Herunterladen von Software kann Benutzern dabei helfen, gefälschte Installationsseiten zu vermeiden.
Mac-Benutzer sollten Software von offiziellen Entwicklerseiten oder dem Mac App Store herunterladen, anstatt von Installationsseiten, die über Anzeigen, Social-Media-Beiträge oder unerwünschte Nachrichten geteilt werden. Unerwartete Passwortabfragen während der Installation, insbesondere zusammen mit vagen Fehlermeldungen oder Behauptungen, dass ein Update fehlgeschlagen sei, sollten Verdacht erregen.
Fortgeschrittene Benutzer und Administratoren können ungewöhnliche AppleScript- oder „Osascript“-Aktivitäten, unerwartete LaunchAgents und Netzwerkverkehr im Zusammenhang mit dem Skript-Editor überwachen. SentinelOne empfahl außerdem, auf verdächtige AppleScript-Ausführungen sowie gefälschte Verzeichnisse vertrauenswürdiger Anbieter und LaunchAgents zu achten, die für die Persistenz verwendet werden.