Eine neue Variante des Infosteals SHub, getauft als Reaper, zeigt, dass Angreifer weiterhin ihre Techniken anpassen, um die Sicherheitsverbesserungen von macOS zu überwinden: anstatt Opfer zu täuschen, um Befehle in Terminal zu halten, verwenden sie jetzt das URL-System Applescript: / um das Editor Script mit einem bereits geladenen schädlichen AppleScript zu öffnen, das ein falsches Sicherheitsupdate zeigt und, wenn der Benutzer "Run" drückt, Download und Run-Code, der eine Backdoor installiert und stiehlt sensible Daten.
Die Raffinesse des Angriffs ist nicht nur in der Social Engineering - die Decoy sind falsche Installateure von beliebten Anwendungen wie WeChat oder Miro gehostet in Domänen, die das legitime - aber in der technischen Kette: das Skript dynamisch baut den Befehl, dass die Nutzlast bringt, versteckt Teile unter ASCII-Art, entkommt aus der Analyse durch Fingerabdruck virtuelle Maschinen und VPNs, und geht auf die Browser-Erweiterungen, um Passwörter Manager und zu erkennen.
Was er stiehlt und wie: Reaper fordert das macOS-Passwort auf, auf die Schlüsselanhänger (Keychain) zuzugreifen und Anmeldeinformationen zu entschlüsseln, dann nach Browser-Daten (Chrome, Firefox, Edge und andere), Geldbörsen-Erweiterungen wie MetaMask und Phantom, Desktop Geldbörsen-Anwendungen (Exodus, Electrum, Ledger Live, etc.), Telegram-Sitzungen, iCloud-Daten und Desktop-Dateien und Dokumente, die Finanzinformationen enthalten können. Es umfasst auch einen "Filegrabber", der ausgewählte Dateien mit Größen- und Volumengrenzen sammelt, und eine Routine, die, wenn Sie Wallet-Kunden legitime Prozesse erkennen und zentrale Dateien (z.B. App.asar in elektronenbasierten Anwendungen) mit schädlichen Binaries von C2 heruntergeladen ersetzt.
Um Schutz wie Gatekeeper und macOS Warnungen zu vermeiden, Malware reinigen Quarantäne Attribute mit xattr -cr und gilt ad hoc für das modifizierte Bündel; seine Beharrlichkeit sorgt dafür, dass ein LaunchAgent installiert wird, der regelmäßig (jeweils) läuft, indem er als legitimes Update posiert und als Leuchtfeuer dient, um zusätzliche Nutzlasten zu empfangen und auszuführen.
Die Implikationen sind klar: einzelne Benutzer, Profis, die mit privaten Schlüsseln oder Anmeldeinformationen und Unternehmen mit Mac in Ihrem Park umgehen, sind objektiv. Die Kombination von Anmeldeinformationen Diebstahl, Datei-Exfiltration und die Möglichkeit, Remote Access-Tools zu installieren, macht Reaper zu einer Plattform, die sich zu mehr Schlaganfällen entwickeln kann, einschließlich der Entfernung von Geldbörsen oder seitlichen Bewegungen in Unternehmensumgebungen.
Für die von den Forschern veröffentlichten technischen Analysen und Indikatoren lesen Sie den Bericht SentinelOne über SHub Reaper: SentinelOne: SHub Reaper. Für allgemeine Empfehlungen zu Malware-Hygiene und anfänglichen Reaktionspraktiken bietet der CERT / CISA-Guide gute Richtlinien: CISA: Schützen Sie Ihren Computer vor schädlichem Code.
Unmittelbare empfohlene Aktionen für Benutzer: nicht laufen oder "Run" auf Editor Script-Fenster, die nach dem Herunterladen etwas aus dem Web erscheinen, immer überprüfen Sie die Download-Domains direkt von der offiziellen Website des Lieferanten, und bevorzugen unterzeichnete und überprüfbare Pakete. Wenn Sie vermuten, dass Ihr Mac kompromittiert wurde, trennen Sie es vom Netzwerk, machen Sie eine sichere Sicherung und betrachten Sie erneute und rotierende Anmeldeinformationen und Schlüssel. Für Kryptomoneda-Nutzer, bewegen Sie Geld zu kalten Geldbörsen (Hardware-Wallets) und vermeiden Sie den Betrieb von Geräten, die beeinträchtigt werden können.
Empfohlene Aktionen für Sicherheitsadministratoren und Geräte: überwachen Sie die Ausführung von osascript und Script Editor von Browsern oder Downloads, überprüfen Sie die neuesten LaunchAgens und Einträge, die legitime Updater mimieren, Dateien mit gelöschten Quarantäne-Attributen erkennen ( xattr) oder ungewöhnliche Ad-hoc-Signaturen, und suchen nach app.asar-Dateiersatz in Geldbörse-Anwendungen. Integrieren Sie Erkennungsregeln für den atypischen ausgehenden Verkehr auf die Telegram API oder C2-assoziierte Domänen und bereitstellen Sie EDR-Tools, die die Erstellung von zsh / curl-Prozessen verfolgen, die Skripte von entfernten Standorten herunterladen und ausführen.
Schließlich halten Sie das System auf dem neuesten Stand, wenden Sie Einschränkungsrichtlinien auf Browser und Erweiterungen (block unzugelassene Erweiterungen), fördern Sie das Prinzip von weniger Privileg (nicht verwenden Administratorkonten für tägliche Aufgaben) und erziehen Sie Benutzer auf Social Engineering-Techniken als falsche Updates und "ClickFix" -Schreibe. Die Bedrohung ist doppelt: technisch und menschlich; die Reduzierung der Angriffsfläche erfordert technische Kontrollen und Änderungen im Benutzerverhalten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...