Die Malware Reaper kapert den Skripteditor, um Krypto-Wallets auf macOS zu plündern

Eine neue Art von Mac-Malware namens Reaper verbreitet sich über gefälschte Downloadseiten für Apps wie WeChat und Miro. Sobald sie ins System eingedrungen ist, stiehlt sie Daten aus Krypto-Wallets und gespeicherte Browserpasswörter.

Es handelt sich um eine raffiniertere Version eines älteren Tricks, mit dem man früher dazu verleitet wurde, schädliche Befehle in das Terminal einzufügen. Apple hat diese Sicherheitslücke in einem kürzlich erschienenen macOS-Update geschlossen, doch Reaper hat einen Weg gefunden, sie zu umgehen, indem es ein anderes, in Apple integriertes Tool nutzt, um denselben Schaden anzurichten.

Der Skripteditor ersetzt das Terminal als Malware-Oberfläche

Die gefälschten Downloadseiten rufen den Skripteditor über eine AppleScript- (applescript:// .

Der Schadcode ist unsichtbar. Angreifer verbergen ihn mithilfe von ASCII-Art und Leerzeichen. Wenn ein Benutzer im Skripteditor auf die Wiedergabetaste klickt, führt er unwissentlich versteckte Befehle aus.

Der Skripteditor ist auf jedem Mac vorinstalliert. Die meisten Menschen haben keinen Bezug zu Viren.

Typosquatting-Domains und gefälschte Apple-Updates schaffen Vertrauen

Der Angriff beginnt mit gefälschten Domains, die für potenzielle Opfer legitim aussehen. Sicherheitsforscher entdeckten Infrastruktur, die auf durch Typosquatting entstandenen Microsoft-Domains gehostet wurde, darunter mlcrosoft[.]co[.]com.

Sobald das Skript ausgeführt wird, fordert ein gefälschter Dialog über ein Apple-Sicherheitsupdate das Opfer zur Eingabe seines Computerpassworts auf.

Reaper überprüft anschließend das Tastaturlayout des Systems. Ist die Tastatur auf Russisch konfiguriert, stoppt die Schadsoftware. Andernfalls aktiviert sie ein Datendiebstahlmodul, das dem Atomic macOS Stealer (AMOS) nachempfunden ist.

Krypto-Wallets, Browser und Dokumente sind alle betroffen

Reaper zielt auf Desktop-Kryptoanwendungen ab, darunter Ledger Live, Trezor Suite und Exodus. Die Schadsoftware verändert den internen Code von Krypto-Wallets, um zukünftige Transaktionen abzufangen und Gelder umzuleiten.

Der Datendieb sammelt außerdem gespeichertedentaus Chrome, Firefox und Edge. Er greift auch auf Daten von Browsererweiterungen wie 1Password und MetaMask zu.

Dateien mit .docx, .pdf, .xlsx, .walletund .keys, die sich in den Ordnern Desktop und Dokumente befinden, werden in 70 MB große ZIP-Blöcke komprimiert und auf einen externen Command-and-Control-Server hochgeladen.

Bei einem anhaltenden Angriff installiert Reaper eine Hintertür, die als Google Software Update-Verzeichnis getarnt ist.

Laut einer Analyse von Moonlock ist Reaper die dritte Kampagne innerhalb von etwa zwei Monaten, die diesen automatisierten AppleScript-Ansatz einsetzt.

Das Defender Security Research Team von Microsoft dokumentierte eine Reihe damit zusammenhängender Kampagnen, bei denen gefälschte macOS-Fehlerbehebungsanleitungen auf Medium, Craft und Squarespace veröffentlicht wurden, worüber Cryptopolitan bereits berichtet hatte.

Diese Kampagnen nutzten dieselbe ClickFix-Methode, um AMOS, Macsync und SHub Stealer über Terminalbefehle zu verbreiten. Laut Cryptopolitanwurden die originalen Wallet-Apps gelöscht und unbemerkt durch schädliche Versionen ersetzt.

Überprüfen Sie Download-Links sorgfältig, bevor Sie etwas Neues installieren. Geben Sie Ihr Mac-Passwort nicht ein, wenn Sie unerwartet dazu aufgefordert werden. Ein gutes Sicherheitstool erkennt verschleierte Skripte, bevor sie Schaden anrichten können. Schließen Sie Tabs von Webseiten, die Sie zum Öffnen des Skripteditors auffordern.