Die neue SHub-Reaper-Variante lockt Opfer über gefälschte Installer bekannter Anwendungen an. Forscher identifizierten täuschend echt aussehende Domänen wie qq-0732gwh22[.]com, mlcrosoft[.]co[.]com und mlroweb[.]com, die als Download-Seiten für WeChat und Miro fungieren. Diese Seiten sind gezielt darauf ausgerichtet, weniger erfahrene Nutzer zu täuschen.
Die Infektionskette beginnt mit einer automatischen Geräte-Fingerprinting auf den bösartigen Websites. Das System prüft, ob das Opfer eine virtuelle Maschine, ein VPN oder Browser-Erweiterungen für Passwort-Manager und Kryptowallet nutzt – typische Zeichen von Sicherheitsforschern. Diese Telemetriedaten werden über einen Telegram-Bot zum Angreifer übertragen.
Einmal aktiviert, zeigt das AppleScript eine perfekt nachgeahmte Apple-Sicherheitsmitteilung an, die sich auf „XProtectRemediator” bezieht. Ahnungslose Nutzer werden aufgefordert, auf „Ausführen” zu klicken. Das Skript lädt dann einen Shell-Code herunter und führt ihn aus – alles im Hintergrund über das zsh-Shell-Programm.
Reaper besitzt eine bemerkenswerte geografische Filterfunktion: Wenn der Computer eine russische Tastaturlayout nutzt, wird die Infektion abgebrochen und ein “cis_blocked”-Event zum Command-and-Control-Server übermittelt. Dies deutet darauf hin, dass die Angreifer gezielt Nutzer außerhalb Russlands ins Visier nehmen.
Ist das Ziel außerhalb Russlands, fordert die Malware das macOS-Passwort an – unter dem Vorwand eines System-Updates. Mit diesem Passwort kann sie auf Keychain-Elemente zugreifen, Anmeldedaten entschlüsseln und geschützte Daten abgreifen. Das „Filegrabber”-Modul durchsucht automatisch Desktop- und Dokumente-Ordner nach verdächtigen Dateitypen, sammelt Dateien bis 2 MB (oder 6 MB bei PNG-Bildern) mit einem Gesamtlimit von 150 MB.
Eine besonders aggressives Feature ist die Wallet-Hijacking-Funktion. Wenn Kryptowallet-Anwendungen installiert sind, beendet Reaper diese und ersetzt die legitimen Anwendungsdateien durch eine manipulierte Version namens app.asar. Um Gatekeeper-Warnungen zu vermeiden, entfernt die Malware Quarantäne-Attribute und signiert die modifizierten Apps mit Ad-hoc-Code-Signierung.
Für persistenten Zugriff installiert Reaper ein Skript, das als Google-Software-Update getarnt ist, und registriert es als LaunchAgent. Dieses Skript läuft alle 60 Sekunden, sendet Systeminformationen an den C2-Server und kann bei Bedarf zusätzliche Malware herunterladen und ausführen.
SentinelOne warnt, dass die SHub-Operatoren ihre Fähigkeiten kontinuierlich erweitern und Remote-Access-Funktionalität integrieren – ein klassisches Zeichen für die Entwicklung einer umfassenden Spionage- und Erpressungsplattform.