MalwareSchwachstellenHackerangriffe

SHub Reaper: Neuer macOS-Malware kombiniert Datendiebstahl mit Hintertür-Zugang

Von CyberDeutsch Redaktion
SHub Reaper: Neuer macOS-Malware kombiniert Datendiebstahl mit Hintertür-Zugang
Zusammenfassung

Eine neu entdeckte macOS-Malware namens SHub Reaper vereint die Funktionsweise eines Infostealers mit Backdoor-Capabilities und nutzt dabei eine ausgefeilte Social-Engineering-Kampagne, die gleichzeitig Apple, Google und Microsoft imitiert. Das Besondere: Die Malware wechselt ihre Verkleidung in jeder Phase des Angriffsablaufs – der Payload wird über eine typosquattierte Microsoft-Domain gehostet, als Apple-Sicherheitsupdate ausgeführt und persistiert sich in einem gefälschten Google-Software-Update-Verzeichnis. SHub Reaper setzt zudem auf manipulierte Installer populärer Anwendungen wie WeChat und Miro als Köder und umgeht dabei Apples neuste Sicherheitsmaßnahmen durch den Einsatz von AppleScript statt klassischer Terminal-Befehle. Dies stellt eine bemerkenswerte Entwicklung dar, da die Malware traditionelle Infostealer-Verhalten mit persistenter Backdoor-Funktionalität kombiniert – eine Hybrid-Bedrohung, die bisher untypisch für macOS-Malware ist. Für deutsche macOS-Nutzer und Unternehmen bedeutet dies ein erhöhtes Risiko, besonders wenn Mitarbeiter auf gefälschte Software-Installer hereinfallen oder Vertrauen in bekannte Marken missbraucht wird. Enterprise-Defender müssen ihre Erkennungsmechanismen anpassen, da traditionelle Terminal-fokussierte Überwachung gegen diese neue Angriffstechnik wirkungslos ist.

Die Infektionskette von SHub Reaper startet mit täuschend echten Installern beliebter Anwendungen. Opfer werden auf manipulierte Websites gelockt, die sich als legitime Download-Seiten für WeChat und Miro ausgeben. Sobald die gefälschte Software heruntergeladen wird, beginnt ein Maskeraden-Spiel der besonderen Art: Der Payload wird über eine Typosquatting-Domain gehostet, die Microsoft täuscht, die Ausführung erfolgt unter dem Vorwand eines Apple-Sicherheitsupdates, und die Persistenz wird über ein gefälschtes Google Software Update-Verzeichnis etabliert.

Was SHub Reaper fundamental von älteren macOS-Malware unterscheidet, ist die Kombination von klassischen Stealer-Funktionen mit echtem Backdoor-Verhalten. Die Malware installiert ein gefälschtes Google Update-Framework in den User Library-Pfaden und registriert einen LaunchAgent mit Google Keystone-ähnlichen Namenskonventionen. Ein Kommunikations-Beacon checkt alle 60 Sekunden in die Kontrollserver ein und ermöglicht beliebige Befehlsausführung — aus dem Datendieb wird praktisch ein kompletter Backdoor-Trojaner.

Das größte Sicherheitsrisiko liegt in der Art der Ausführung. Während ältere Malware-Varianten auf “ClickFix”-Techniken setzten, bei denen Nutzer Befehle manuell in das Terminal einfügen mussten, umgeht SHub Reaper diesen Vektor komplett. Stattdessen nutzt die Malware das “applescript://"-URL-Schema, um den macOS Script Editor direkt mit bösartigem AppleScript-Code zu öffnen — eine Methode, die Apples Tahoe 26.4 Schutzmaßnahmen elegant umgeht.

Für Unternehmen und Sicherheitsteams ist dies besonders tückisch, da traditionelle Terminal-basierte Erkennungsmechanismen nun unwirksam werden. SHub Reaper nutzt sogenannte “Living off the Land”-Techniken, die nur System- oder nutzerinitierte Prozesse ausführen — ohne fremde Binärdateien auf der Festplatte zu hinterlassen. Dies macht die Umgehung von Apple XProtect und ähnlichen Sicherheitstools deutlich leichter.

Die Gefährlichkeit liegt auch in der Geschwindigkeit der Ausnutzung. Aktuelle Daten zeigen, dass gestohlene Anmeldedaten bereits nach 48 Stunden auf Underground-Marktplätzen auftauchen können. Deutsche Unternehmen sollten ihre Mitarbeiter dringend vor den täuschend echten Installer-Downloads warnen und technische Teams sollten auf ungewöhnliche Script Editor-Invokationen, osascript-zu-curl/Shell-Ketten und Browser-zu-AppleScript-Ausführungsketten überwachen.

Ähnliche Artikel