Die 'Reaper'-Variante des **SHub** macOS Infostealers zielt mit gefälschten Sicherheitsupdate-Nachrichten auf sensible Browserdaten, Finanzdokumente und Kryptowährungs-Wallets ab. **Abwehrtaktiken** Im Gegensatz zu früheren **SHub**-Kampagnen, die auf "ClickFix"-Taktiken setzten, nutzt diese neue Variante das `applescript://` URL-Schema, um den macOS Script Editor mit einem bösartigen **AppleScript** zu starten. Dies ermöglicht es, die von **Apple** in macOS Tahoe 26.4 eingeführten terminalbasierten Abwehrmaßnahmen zu umgehen, die das Einfügen und Ausführen potenziell schädlicher Befehle blockieren sollten. **Verteilungsmethode** Forscher von **SentinelOne** entdeckten, dass Opfer mit gefälschten Installern für **WeChat** und **Miro** angelockt werden, die auf Domains gehostet werden, die legitim erscheinen sollen (z. B. qq-0732gwh22[.]com, mlcrosoft[.]co[.]com, mlroweb[.]com). Während einige dieser Domains immer noch gefälschte Installer ausliefern, leiten andere auf die legitime **Miro**-Website weiter. Bemerkenswerterweise liefern Download-Buttons für Windows- und Android-Versionen auf diesen bösartigen Websites die gleiche ausführbare Datei, die auf einem **Dropbox**-Konto gehostet wird. Vor der Ausführung des **AppleScript**s fingerprinten die bösartigen Websites das Gerät des Besuchers, um virtuelle Maschinen und VPNs zu überprüfen, was auf Analyseumgebungen hindeuten könnte. Sie zählen auch installierte Browser-Erweiterungen für Passwortmanager und Kryptowährungs-Wallets auf. Alle gesammelten Telemetriedaten werden über einen **Telegram**-Bot an den Angreifer gesendet. **Infektionskette** **SentinelOne** berichtet, dass das Skript, das den Befehl zum Abrufen des Payloads enthält, dynamisch konstruiert und in ASCII-Art versteckt ist.  Wenn das Opfer auf 'Ausführen' klickt, zeigt das Skript eine gefälschte **Apple**-Sicherheitsupdate-Nachricht an, die sich auf **XProtectRemediator** bezieht, lädt ein Shell-Skript mit `curl` herunter und führt es lautlos über `zsh` aus. **Geografisches Targeting und Datendiebstahl** Bevor die Datendiebstahlfähigkeiten eingesetzt werden, prüft die Malware auf eine russische Tastatur/Eingabe. Wenn dies erkannt wird, meldet sie ein `cis_blocked`-Ereignis an den Command-and-Control (C2)-Server und beendet sich, ohne das System zu infizieren. Wenn der Host nicht russisch ist, ruft **Reaper** das bösartige **AppleScript** mit der Datendiebstahlroutine ab und führt es mit dem Befehlszeilenwerkzeug `osascript` aus. Es fordert den Benutzer zur Eingabe seines macOS-Passworts auf, das dann verwendet wird, um auf Keychain-Elemente zuzugreifen, Anmeldeinformationen zu entschlüsseln und auf geschützte Daten zuzugreifen. Der Infostealer zielt auf: * Browserdaten von **Google Chrome**, **Mozilla Firefox**, **Brave**, **Microsoft Edge**, **Opera**, **Vivaldi**, **Arc** und **Orion** * Kryptowährungs-Wallet-Browser-Erweiterungen, einschließlich **MetaMask** und **Phantom** * Passwortmanager-Browser-Erweiterungen, einschließlich **1Password**, **Bitwarden** und **LastPass** * Desktop-Kryptowährungs-Wallet-Anwendungen, einschließlich **Exodus**, **Atomic Wallet**, **Ledger Live**, **Electrum** und **Trezor Suite** * iCloud-Kontodaten * Telegram-Sitzungsdaten * Entwicklerbezogene Konfigurationsdateien **Filegrabber-Modul** **Reaper** enthält ein "Filegrabber"-Modul, das die Ordner Desktop und Dokumente nach Dateitypen durchsucht, die wahrscheinlich sensible Informationen enthalten. Es sammelt gezielte Dateien, die kleiner als 2 MB sind (oder bis zu 6 MB für PNG-Bilder), mit einem Gesamtvolumenlimit von 150 MB.  **Wallet-Hijacking** Wenn Wallet-Anwendungen vorhanden sind, kapert **Reaper** diese, indem es ihre Prozesse beendet und die legitime Kernanwendungsdatei durch eine bösartige Datei namens `app.asar` ersetzt, die vom C2-Server heruntergeladen wird. Um **Gatekeeper**-Warnungen zu umgehen, löscht die **SHub Reaper**-Malware die Quarantäneattribute mit `xattr -cr` und verwendet *ad hoc* Code-Signing für das modifizierte Anwendungsbundle, wie von den **SentinelOne**-Forschern beschrieben.  **Persistenz und Fernzugriff** **SentinelOne** warnt, dass die Malware Persistenz aufbaut, indem sie ein Skript installiert, das sich als **Google**-Software-Update ausgibt und es über LaunchAgent registriert. Dieses Skript wird jede Minute ausgeführt und fungiert als Beacon, der Systeminformationen an den C2 sendet. Wenn das Skript eine Payload empfängt, kann es diese im Kontext des aktuellen Benutzers dekodieren und ausführen und dann die Datei löschen, was dem Angreifer erweiterten Zugriff auf die Maschine gewährt. **SentinelOne** hebt hervor, dass der **SHub**-Betreiber die Fähigkeiten des Infostealers erweitert, um Fernzugriff auf kompromittierte Geräte zu ermöglichen, was potenziell die Bereitstellung zusätzlicher Malware erlaubt. **Indikatoren für Kompromittierung (IOCs)** **SentinelOne** hat eine Reihe von Indikatoren für Kompromittierung bereitgestellt, um Verteidiger beim Schutz vor dieser neuen **SHub Reaper**-Variante zu unterstützen. Sie empfehlen, auf verdächtigen ausgehenden Datenverkehr nach der Ausführung von Script Editor und auf neue LaunchAgents oder zugehörige Dateien im Namensraum vertrauenswürdiger Anbieter zu achten.