SHub Reaper kehrt das übliche Verhalten von Stealern um, wie Stokes erläutert: Zu typischen Funktionen wie Diebstahl von Anmeldedaten, Übernahme von Wallets und Abgreifen von Dokumenten kommt ein dauerhafter Backdoor-Zugang — eine Kombination, die bei Stealer-Malware sonst kaum vorkommt.
Technisch installiert die Malware dafür ein gefälschtes Google-Update-Framework in den Library-Pfaden des Nutzers und registriert anschließend einen LaunchAgent, dessen Benennung an Googles Keystone angelehnt ist. Der Beacon meldet sich alle 60 Sekunden zurück und erlaubt die Ausführung beliebiger Befehle, womit aus einer Infostealer-Infektion praktisch eine schlanke macOS-Backdoor wird. “Die Backdoor schafft einen weiteren Weg für Diebstahl und Kompromittierung”, sagt Stokes. Frühere Infostealer seien auf schnelles Zugreifen und Verschwinden ausgelegt gewesen und hätten sich nicht einmal um Persistenz bemüht; SHub Reaper dagegen vereine Techniken aus mehreren jüngeren Familien.
Auch bei der Ausführung weicht der Schädling vom Gewohnten ab. Statt auf die übliche “ClickFix”-Masche zu setzen, bei der Opfer einen Befehl ins Terminal einfügen sollen, umgeht die Variante das Terminal vollständig. Damit unterläuft sie laut SentinelOne auch Apples in Tahoe 26.4 eingeführte Schutzmaßnahmen, die genau solche terminalgestützten Angriffe wie ClickFix eindämmen sollen.
Stattdessen verlagert SHub Reaper die Ausführung in vertrauenswürdige, Apple-eigene Skripting-Abläufe: Über das URL-Schema applescript:// wird der macOS Script Editor mit einem bereits geladenen, schädlichen AppleScript geöffnet. Diese Abkehr von Methoden, die das manuelle Einfügen von Befehlen voraussetzen, nennt Jason Soroko, Senior Fellow beim Zertifikatsdienstleister Sectigo, eine “bemerkenswerte Weiterentwicklung bei macOS-Infostealern”. Angreifer nutzten das applescript://-Schema, um den Script Editor automatisch mit schädlichen Inhalten zu laden, und umgingen so die neuen Schutzmaßnahmen.
Der Grund: Auf diese Weise lasse sich die Ausführung auf laufende Systemprozesse oder vom Nutzer gestartete Prozesse wie Script Editor oder Terminal beschränken, erklärt Stokes. So könne der Angreifer agieren, ohne fremde Binärdateien ins Dateisystem einzubringen, was das Umgehen von Datei-Scannern wie Apples eigenem XProtect und vergleichbaren Werkzeugen erleichtere.
SentinelOne verweist darauf, dass Infostealer zu den schnellsten Wegen gehören, um Unternehmenszugangsdaten zu kompromittieren. Eine im März veröffentlichte Untersuchung von WhiteIntel ergab, dass Angreifer gestohlene Anmeldedaten binnen 48 Stunden von einem infizierten Laptop auf einen Untergrundmarktplatz bringen; dem M-Trends-Bericht 2025 von Googles Mandiant zufolge nimmt der Einsatz solcher Schädlinge stetig zu.
Für macOS-Nutzer sei das Erkennen der eingesetzten Social-Engineering-Tricks der einfachste Schutz, so SentinelOne — insbesondere das Schichten bekannter Marken und vertrauter Software-Signale über mehrere Stufen hinweg. Für Verteidiger in Unternehmen entsteht durch den Wechsel von ClickFix zu AppleScript und weiteren “Living off the Land”-Techniken eine neue Erkennungsfläche, die rein terminalbasierte Erkennung weitgehend wirkungslos macht. SentinelOne empfiehlt, auf folgende Auffälligkeiten zu achten: unerwartetes Starten des Script Editor (Script Editor.app), osascript, das curl oder Shell-Interpreter aufruft, Ausführungsketten vom Browser zum AppleScript sowie nutzergetriebene AppleScript-Ausführung über ungewöhnliche URL-Handler.
