Säkerhetsforskare på SentinelOne har upptäckt en ny variant av den kända macOS-skadeprogramsfamiljen SHub, döpt till "Reaper". Skadeprogrammet utger sig för att vara Apple, Google och Microsoft i samma attackkedja, och stjäl lösenord, kryptoplånböcker och känsliga filer.

Hur attacken fungerar

Reaper sprids via falska installatörer för populära appar som WeChat och Miro. Det som skiljer den från tidigare varianter är hur den byter skepnad i varje steg av infektionskedjan:

• Skadlig kod hämtas från en domän som liknar Microsofts
• Koden körs under sken av en Apple-säkerhetsuppdatering
• Bakdörren gömmer sig i en falsk Google Software Update-mapp för att överleva omstarter

I stället för att lura användaren att klistra in kommandon i Terminal, som tidigare ClickFix-attacker gjort, använder Reaper macOS inbyggda Script Editor via URL-schemat applescript://. Det kringgår Apples senaste skyddsåtgärder i macOS Tahoe 26.4.

Vad stjäls?

Reaper innehåller ett modul för dokumentstöld inspirerad av AMOS-skadeprogrammet. Den samlar in:

• Lösenord från webbläsare och nyckelringar
• Kryptoplånböcker
• Känsliga filer från enheten

Filerna laddas upp i delar till angriparnas servrar.

Vad bör Mac-användare göra?

Reaper visar att macOS inte är immunt mot avancerade hot. Företag med Mac-datorer i sin miljö bör:

• Installera uppdateringar från officiella kanaler, aldrig via popup-fönster eller okända sajter
• Använda endpoint-skydd anpassat för macOS
• Utbilda medarbetare att känna igen falska installatörer och säkerhetsvarningar

Vill du veta hur ditt företag skyddar sig mot moderna infostealers? Kontakta BlckIT för en genomgång av er säkerhetsstatus.