Neue macOS-Malware installiert gefälschte Google-Update-Agenten für dauerhaften Zugriff

Benutzer und ausgeklügelten Bedrohung ausgesetzt: Eine Variante des Infostealers SHub, „Reaper" genannt, wurde dabei beobachtet, wie sie einen gefälschten Google-Software-Update-LaunchAgent ein Benutzer und ausgeklügelten Bedrohung ausgesetzt: Eine Variante des Infostealers SHub, „Reaper" genannt, wurde dabei beobachtet, wie sie einen gefälschten Google-Software-Update-LaunchAgent einsetzt, um auf infizierten Geräten einen dauerhaften Zugriff zu gewährleisten.

Die Malware bleibt unsichtbar, indem sie sich die Identität, denen die Nutzer bereits vertrauen, was sie ohne spezialisierte Sicherheitstools außerordentlich schwer zu erkennen macht. Besonders gefährlich ist Reaper, weil sie ihre Tarnung in jeder Phase der Infektionskette ändert.

Ein Opfer kann beispielsweise einen gefälschten Installer für eine bekannte Anwendung wie WeChat oder Miro über eine typo-squatting-Domain erhalten, die Microsoft-Infrastruktur nachahmt.

Das Payload wird dann unter dem Vorwand eines Apple-Sicherheitsupdates ausgeführt, und die Persistenz versteckt sich in einem Verzeichnis, das das eigene Software-Updatesystem einzigen Angriffs-Kette werden drei weltweit anerkannte Technologie-Marken ausgenutzt.

Forscher Reaper-Variante identifiziert und analysiert und sie als Fortsetzung der breiteren SHub-Malware-Familie eingestuft, die sich in den letzten beiden Jahren erheblich ausgeweitet hat. SentinelOne teilte in einem Bericht mit