SHub Reaper is een nieuwe telg in de SHub Stealer malware ‘familie’, eentje die al veel schade heeft berokkend. En omdat deze zich voordoet als software van Apple zelf lijkt dit een reden voor een extra waarschuwing, zodat we allemaal nog meer op ons hoede zijn.

SHub Reaper misbruikt hiervoor Apple’s eigen AppleScript, een aanpak waarvoor al is eerder gewaarschuwd hier op MacFreak.

https://x.com/ClassicII_MrMac/status/2036797948911141129

Het misbruik van AppleScript gebeurde nadat Apple in macOS 26.4 een waarschuwing in Terminal inbouwde, kennelijk had dat effect en gingen deze hackers daarom op zoek naar een nieuwe manier om binnen te kunnen dringen.

Hoe Mac-gebruikers zich kunnen beschermen

Je kunt het risico op dit soort malware verminderen door scripts of installatieprogramma’s van onbetrouwbare websites te vermijden, met name pagina’s waarop wordt beweerd dat er een handmatige beveiligingsupdate nodig is. Apple vraagt gebruikers nooit om Script Editor te openen en op “Uitvoeren” te klikken om updates te installeren.

SentinelOne meldde dat de campagne gebruikmaakte van domeinnamen met typefouten die waren ontworpen om op de infrastructuur van Microsoft te lijken. Door URL's zorgvuldig te controleren voordat software wordt gedownload, kan je ook vervalste installatie-sites vermijden.

Verder blijft natuurlijk altijd de goede raad staan dat je software alleen moet downloaden van officiële ontwikkelaars-sites of de Mac App Store in plaats van pagina's die worden gedeeld via advertenties, posts op sociale media of ongevraagde berichten. Onverwachte wachtwoord-verzoeken tijdens de installatie, met name in combinatie met vage foutmeldingen of beweringen dat een update is mislukt, zouden natuurlijk ook altijd argwaan moeten wekken.

Gevorderde gebruikers en beheerders kunnen controleren op ongebruikelijke AppleScript- of `osascript`-activiteit, onverwachte LaunchAgents en netwerkverkeer dat verband houdt met Script Editor. SentinelOne adviseerde ook om te letten op verdachte AppleScript-uitvoering en valse mappen van vertrouwde leveranciers en LaunchAgents die worden gebruikt voor persistentie.

Wil je hier nog meer over lezen, het artikel van het al eerder genoemde SentinelOne hierover is hier te vinden.