Die Köderseiten geben sich als QQ-, Microsoft- und Miro-Domains aus, etwa qq-0732gwh22[.]com, mlcrosoft[.]co[.]com und mlroweb[.]com. Die gefälschten QQ- und Microsoft-Domains liefern weiterhin manipulierte WeChat-Installationsprogramme, während die Seite, die die Kollaborationsplattform Miro nachahmt, mittlerweile auf die echte Website weiterleitet. BleepingComputer stellte fest, dass die Download-Schaltflächen für Windows und Android dieselbe ausführbare Datei aus einem Dropbox-Konto bereitstellen.

Bevor das AppleScript ausgelöst wird, erfassen die Webseiten einen Fingerabdruck des Geräts: Sie prüfen auf virtuelle Maschinen und VPNs, die auf eine Analyseumgebung hindeuten könnten, und ermitteln installierte Browser-Erweiterungen für Passwortmanager und Krypto-Wallets. Sämtliche Telemetriedaten gehen über einen Telegram-Bot an die Angreifer.

Laut dem aktuellen Bericht von SentinelOne wird das Skript, das die Schadsoftware nachlädt, dynamisch zusammengesetzt und unter ASCII-Kunst versteckt. Klickt das Opfer auf „Ausführen", erscheint eine gefälschte Apple-Sicherheitsupdate-Meldung mit Bezug auf XProtectRemediator. Im Hintergrund lädt das Skript per „curl" ein Shell-Skript herunter und führt es unbemerkt über „zsh" aus.

Vor dem eigentlichen Datendiebstahl prüft die Schadsoftware, ob das Opfer eine russische Tastatur beziehungsweise Eingabemethode verwendet. Trifft das zu, meldet sie dem Befehlsserver ein „cis_blocked"-Ereignis und beendet sich, ohne das System zu infizieren. Andernfalls führt Reaper über das macOS-eigene Kommandozeilenwerkzeug osascript das schädliche AppleScript mit der Diebstahlroutine aus.

Beim Start fordert die Schadsoftware das macOS-Passwort des Nutzers an, mit dem sich anschließend Keychain-Einträge auslesen, Anmeldedaten entschlüsseln und geschützte Daten abrufen lassen. Ein „Filegrabber"-Modul durchsucht Schreibtisch und Dokumente nach Dateitypen, die sensible Informationen enthalten könnten; es sammelt Dateien unter 2 MB, bei PNG-Bildern bis 6 MB, mit einer Gesamtobergrenze von 150 MB.

Sind Wallet-Anwendungen vorhanden, beendet Reaper deren Prozesse und ersetzt die legitime Kernkomponente durch eine schädliche Datei namens app.asar, die vom Befehlsserver nachgeladen wird. Um Gatekeeper-Warnungen zu vermeiden, entfernt die Schadsoftware laut den Forschern mit „xattr -cr" die Quarantäne-Attribute und signiert das veränderte Anwendungspaket per Ad-hoc-Codesignatur.

Persistenz erreicht Reaper über ein Skript, das sich als Google-Softwareupdate ausgibt und per LaunchAgent registriert wird. Es läuft jede Minute, sendet Systeminformationen an den Befehlsserver und kann empfangene Schadcode-Pakete im Kontext des aktuellen Nutzers entschlüsseln, ausführen und anschließend löschen. SentinelOne betont, dass der SHub-Betreiber die Fähigkeiten des Infostealers um Fernzugriff erweitert, was das Nachladen weiterer Schadsoftware ermöglichen könnte.

Die Forscher haben Kompromittierungsindikatoren veröffentlicht und empfehlen, verdächtigen ausgehenden Datenverkehr nach dem Start des Skripteditors sowie neue LaunchAgents im Namensraum vertrauenswürdiger Anbieter zu überwachen.