Fake-Updates über den Skript-Editor

MacOS-Malware Reaper umgeht Apples Sicherheitsbarrieren

MacOS Hacker
Bildquelle: Africa Studio / Shutterstock.com
LinkedInRedditWhatsApp

Eine neue Variante des SHub-Infostealers namens Reaper nutzt bösartige AppleScripts, um macOS-Nutzer auszuspionieren und Krypto-Wallets zu kapern.

IT-Sicherheitsanalysten von SentinelOne haben eine neue, hochentwickelte Variante der macOS-Schadsoftware „SHub“ identifiziert. Der als „Reaper“ bezeichnete Infostealer nutzt eine neuartige Angriffsmethode, um gezielt sensible Daten von Apple-Systemen zu entwenden und eine dauerhafte Backdoor zu installieren. Im Gegensatz zu früheren Kampagnen manipuliert Reaper die Benutzeroberfläche über legitime macOS-Systemwerkzeuge und tarnt den eigentlichen Schadcode als Sicherheitsaktualisierung des Betriebssystems.

Anzeige

Umgehung der Schutzmaßnahmen von macOS Tahoe 26.4

Bisherige SHub-Kampagnen setzten vor allem auf sogenannte „ClickFix“-Taktiken. Bei dieser Methode wurden Opfer auf präparierten Webseiten dazu verleitet, schädliche Befehlszeilen manuell zu kopieren und in das macOS-Terminal einzufügen und auszuführen. Apple hatte gegen diese spezifische Angriffsform Ende März 2026 mit der Betriebssystemversion macOS Tahoe 26.4 weitreichende Sicherheitsbarrieren eingeführt, die das unüberprüfte Einfügen potenziell schädlicher Befehle im Terminal blockieren.

Die neue Reaper-Variante umgeht diese Barriere vollständig, indem sie das URL-Schema applescript:// ausnutzt. Durch das Anklicken eines manipulierten Elements auf einer Webseite wird der native macOS-Skript-Editor automatisch gestartet. Dieser öffnet sich bereits im Vorfeld vorausgefüllt mit einem bösartigen AppleScript, wodurch die manuelle Terminal-Eingabe durch den Nutzer überflüssig wird.

Gefälschte Installationsmedien und Geräte-Fingerprinting

Die Angreifer verbreiten die Schadsoftware über manipulierte Webseiten, die legitimen Plattformen optisch täuschen ähneln. Als Köder dienen gefälschte Installer für weit verbreitete Anwendungen wie WeChat und Miro. Die Registrierung von Tippfehler-Domänen (Typosquatting) wie qq-0732gwh22.com, mlcrosoft.co.com und mlroweb.com soll weniger erfahrenen Nutzern Authentizität suggerieren. Während die gefälschten QQ- und Microsoft-Domänen manipulierte WeChat-Installationsdateien ausliefern, leitet die Miro-Imitation nach dem Angriff auf die echte Webseite weiter. Technische Überprüfungen ergaben, dass Download-Buttons für Windows und Android auf denselben Schadcode verweisen, der in einem Dropbox-Konto hinterlegt ist.

Anzeige

Bevor das schädliche AppleScript im Skript-Editor aufgerufen wird, führt die Webseite ein automatisiertes Fingerprinting des Besuchergeräts durch. Dabei wird geprüft, ob das System in einer virtuellen Umgebung (VM) oder über ein VPN betrieben wird, was auf ein Analysesystem von Sicherheitsforschern hindeuten könnte. Zudem scannt die Seite installierte Browser-Erweiterungen für Passwortmanager und Krypto-Wallets. Alle gesammelten Telemetriedaten werden direkt über einen Telegram-Bot an die Angreifer übermittelt. Der eigentliche Payload-Befehl ist im Skript dynamisch generiert und unter einer ASCII-Art-Grafik verborgen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Geofencing und Tarnung als XProtectRemediator

Sobald der Anwender im geöffneten Skript-Editor auf die Schaltfläche „Ausführen“ klickt, simuliert das Skript eine offizielle Apple-Sicherheitsmeldung, die explizit auf das legitime Schutzwerkzeug XProtectRemediator verweist. Im Hintergrund lädt die Malware mittels des Befehls curl ein Shell-Skript herunter und führt dieses geräuschlos über die Unix-Shell zsh aus.

Vor der Aktivierung der Diebstahllogik erfolgt eine geografische Überprüfung (Geofencing). Das System kontrolliert, ob eine russische Tastatur oder ein entsprechendes Eingabelayout auf dem Mac konfiguriert ist. Liegt ein Treffer vor, sendet die Malware das Ereignis cis_blocked an den Befehls- und Steuerungsserver (C2) und bricht die Infektion ohne weitere schädliche Aktionen ab.

Umfassender Diebstahl von Passwörtern und Krypto-Werten

Bei Systemen außerhalb dieses Geofencing-Bereichs führt Reaper die Datendiebstahl-Routine über das integrierte Kommandozeilenwerkzeug osascript aus. Zunächst wird der Anwender über ein gefälschtes Systemfenster zur Eingabe seines macOS-Passworts aufgefordert. Mit diesem Kennwort erlangen die Angreifer Zugriff auf die im Schlüsselbund (Keychain) hinterlegten Anmeldedaten. Der Infostealer durchsucht gezielt die Benutzerdaten folgender Anwendungen:

  • Webbrowser: Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Opera, Vivaldi, Arc und Orion.
  • Krypto-Wallet-Erweiterungen: Unter anderem MetaMask und Phantom.
  • Passwortmanager-Erweiterungen: 1Password, Bitwarden und LastPass.
  • Desktop-Wallets: Exodus, Atomic Wallet, Ledger Live, Electrum und Trezor Suite.
  • Zusätzliche Daten: iCloud-Kontodaten, Telegram-Sitzungsdaten sowie entwicklerspezifische Konfigurationsdateien.

Ein integriertes Modul namens „Filegrabber“ durchsucht zudem gezielt die Ordner „Schreibtisch“ und „Dokumente“ nach sensiblen Dateitypen. Es extrahiert gezielt Dateien mit einer Größe von unter 2 Megabyte (MB) bzw. PNG-Bilddateien bis zu 6 MB, wobei das maximale Gesamtvolumen pro System auf 150 MB begrenzt ist.

Manipulation von Wallet-Applikationen

Wenn die Schadsoftware installierte Krypto-Wallet-Anwendungen auf dem Desktop identifiziert, beendet sie deren laufende Prozesse aktiv. Anschließend ersetzt sie die legitime Kerndatei der Anwendung durch eine manipulierte Datei namens app.asar, die vom C2-Server nachgeladen wird. Um Warnmeldungen des macOS-Sicherheitsdienstes Gatekeeper zu verhindern, löscht die Malware die Quarantäne-Attribute der modifizierten Datei mithilfe des Befehls xattr -cr und versieht das veränderte Anwendungspaket mit einer Ad-hoc-Codesignatur.

Zur Sicherung einer dauerhaften Präsenz auf dem System (Persistence) installiert Reaper ein LaunchAgent-Skript, das sich als legitimes Software-Update von Google tarnt. Dieses Skript wird im Minutentakt ausgeführt und fungiert als Beacon, das Systeminformationen an den C2-Server übermittelt. Falls das Skript neue Befehle oder Payloads empfängt, decodiert und führt es diese im Kontext des aktuellen Benutzers aus, bevor die temporäre Datei gelöscht wird. Dies gewährt den Angreifern erweiterten Fernzugriff und die Option, zusätzliche Schadsoftware nachzuladen.

Sicherheitsnetzwerke empfehlen Verteidigern, ausgehenden Datenverkehr nach der Ausführung des Skript-Editors sowie neue LaunchAgents im Namensraum vertrauenswürdiger Anbieter restriktiv zu überwachen.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
OpenClaw
19. Mai 2026
Hermes Agent als Alternative zu OpenClaw
Rechenzentrum-Kuehlung
19. Mai 2026
China nimmt unterseeisches Windenergie-Rechenzentrum in Betrieb
Meta
19. Mai 2026
Meta entlässt zehn Prozent der Belegschaft für KI-Agenten
Linkedin
19. Mai 2026
Anrede „My Lord“: Prompt-Injection manipuliert LinkedIn-Bots

Weitere Artikel

Hermes Agent als Alternative zu OpenClaw
China nimmt unterseeisches Windenergie-Rechenzentrum in Betrieb
Meta entlässt zehn Prozent der Belegschaft für KI-Agenten
Anrede „My Lord“: Prompt-Injection manipuliert LinkedIn-Bots
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.