Frische „Reaper“-Malware für macOS

Am Von In UP2DATE

This content is protected against AI scraping.

Die durchaus tückische Malware „Reaper“ bedroht macOS-Nutzer:innen. Sie gehört zur Familie der SHub-Infostealer, ist aber erheblich raffinierter: Es ist ihre Fähigkeit, sich im Laufe des Angriffs mehrfach passend umzustylen. Sie nutzt dabei vertrauenswürdige Marken wie Apple, Microsoft und Google, um Sie zu täuschen. Und: Frühere SHub-Kampagnen beruhten auf ClickFix-Taktiken und verleiteten Benutzer:innen dazu, Befehle im Terminal einzufügen und auszuführen. „Reaper“ macht das anders und ruft eine Systemfunktion auf, so dass Nutzer:innen nur noch ihr Passwort eingeben müssen.

Wie der Angriff funktioniert

Der Angriff beginnt meist harmlos. Sie landen auf einer gefälschten Webseite, die angeblich einen Installer für bekannte Apps wie WeChat oder Miro anbietet. Die Webseiten-Adressen sehen fast echt aus, enthalten aber kleine „Tippfehler“ sogenannter „Typosquatting“-Domains (z. B. mlcrosoft[.]co[.]com).

Bevor Sie dort etwas herunterladen, prüft die Seite im Hintergrund, ob Sie ein Sicherheitsforschender sein könnten (durch Erkennung von VPNs, virtuellen Maschinen) oder russischsprachige Systemeinstellungen verwenden. Wenn alles „normal“ aussieht, startet der eigentliche Angriff:

  1. Die Falle: Statt einer normalen Datei öffnet sich automatisch der Skript-Editor Ihres Macs.
  2. Die Täuschung: Ein Fenster erscheint, das behauptet, es sei ein dringendes Apple-Sicherheitsupdate (XProtect).
  3. Der Fehler: Sie werden aufgefordert, Ihr Mac-Benutzerpasswort einzugeben.
    • Achtung: Geben Sie Ihr Passwort hier ein, geben Sie den Hackern den Schlüssel zu Ihrem gesamten System.

Hinweis: Nutzer:innen anderer Betriebssysteme erhalten auch die gleiche Datei wie macOS-Nutzenden. Allerdings findet dann kein Angriff statt. Noch nicht.

Was gestohlen wird

Sobald Sie das Passwort eingegeben haben, passiert Folgendes im Hintergrund:

  • Datenklau: Passwörter aus dem Schlüsselbund, Browser-Daten, iCloud-Zugänge und Telegram-Sitzungen werden gestohlen.
  • Finanzdaten: Die Malware sucht gezielt nach Dokumenten (Word, Excel, PDF) mit Finanzdaten und stiehlt Krypto-Wallets (wie MetaMask, Exodus oder Ledger).
  • Dauerhafter Zugriff: Die Malware installiert sich als vermeintliches Google-Update im Hintergrund. Sie bleibt aktiv, sendet alle 60 Sekunden Daten an die Hacker und ermöglicht ihnen, später weitere Schadsoftware nachzuladen oder Ihre Krypto-Wallets zu manipulieren.

Drei einfache Regeln zu Ihrem Schutz

  1. Nie Passwörter in Skript-Fenstern eingeben: Apple verlangt Ihr Passwort niemals in einem Skript-Editor oder über ein Popup, das von einer Webseite ausgelöst wurde. Schließen Sie solche Fenster sofort.
  2. Updates nur offiziell prüfen: Echte Apple-Updates finden Sie ausschließlich in den Systemeinstellungen unter „Software-Update“. Es gibt keine Updates, die über Webseiten oder Skripte installiert werden müssen.
  3. Quellen prüfen: Laden Sie Software nur vom offiziellen App Store oder den verifizierten Webseiten der Hersteller herunter. Achten Sie genau auf die URL (keine Tippfehler!).
[https://www.sentinelone.com/blog/shub-reaper-macos-stealer-spoofs-apple-google-and-microsoft-in-a-single-attack-chain/]

ki-generiertes Beitragsbild in düsteren Farben zur Reaper-Bedrohung für macOS