El malware Reaper secuestra el Editor de scripts para vaciar monederos de criptomonedas en macOS

Un nuevo tipo de malware para Mac llamado Reaper se está propagando a través de páginas de descarga falsas de aplicaciones como WeChat y Miro. Una vez dentro del sistema, roba datos de monederos de criptomonedas y contraseñas guardadas del navegador.

Se trata de una versión más sofisticada de un truco antiguo que solía engañar a la gente para que pegaran comandos maliciosos en la Terminal. Apple corrigió esa vulnerabilidad en una actualización reciente de macOS, pero Reaper encontró la manera de sortearla, utilizando otra herramienta integrada de Apple para causar el mismo daño.

El editor de scripts reemplaza a la terminal como superficie de malware

Los sitios de descarga falsos activan el Editor de scripts a través de una URL de AppleScript applescript:// .

El código malicioso es invisible. Los atacantes lo ocultan mediante caracteres ASCII y espacios en blanco. Si un usuario pulsa el botón de reproducción en el editor de scripts, ejecuta comandos ocultos sin darse cuenta.

El editor de scripts viene preinstalado en todos los ordenadores Mac. La mayoría de la gente no se preocupa por los virus.

Los dominios typosquatting y las actualizaciones falsas de Apple generan confianza

El ataque comienza en dominios falsos que parecen legítimos para las posibles víctimas. Investigadores de seguridad descubrieron infraestructura alojada en dominios de Microsoft typosquatting, incluido mlcrosoft[.]co[.]com.

Una vez ejecutado el script, un cuadro de diálogo fraudulento de actualización de seguridad de Apple solicita a la víctima que introduzca la contraseña de su ordenador.

Reaper comprueba entonces la distribución del teclado del sistema. Si el teclado está configurado para el idioma ruso, el malware se detiene. De lo contrario, activa un módulo de robo de datos basado en el Atomic macOS Stealer (AMOS).

Las carteras de criptomonedas, los navegadores y los documentos son todos objetivos

Reaper ataca las aplicaciones de criptomonedas para escritorio, incluidas Ledger Live, Trezor Suite y Exodus. El malware modifica el código interno de las carteras de criptomonedas para interceptar transacciones futuras y redirigir los fondos.

El programa espía también robadentguardadas de Chrome, Firefox y Edge. Además, extrae datos de extensiones de navegador como 1Password y MetaMask.

Los archivos con .docx, .pdf, .xlsx, .wallety .keys que se encuentren en las carpetas Escritorio y Documentos se comprimen en bloques ZIP de 70 MB y se suben a un servidor externo de comando y control.

Para un ataque persistente, Reaper instala una puerta trasera disfrazada de directorio de actualización de software de Google.

Según el análisis de Moonlock, Reaper es la tercera campaña en aproximadamente dos meses que adopta este enfoque automatizado de AppleScript.

El equipo de investigación de seguridad Defender de Microsoft documentó un conjunto de campañas relacionadas que involucraban guías falsas de solución de problemas de macOS publicadas en Medium, Craft y Squarespace, sobre las cuales Cryptopolitan ya había informado.

Estas campañas utilizaron el mismo método de ClickFix para distribuir AMOS, Macsync y SHub Stealer mediante comandos de terminal. Según Cryptopolitan, las aplicaciones de billetera legítimas fueron eliminadas y reemplazadas silenciosamente por versiones maliciosas.

Verifica los enlaces de descarga antes de instalar cualquier programa nuevo. Si aparece una ventana emergente que te pide la contraseña de tu Mac, no la ingreses. Una buena herramienta de seguridad detectará los scripts ofuscados antes de que causen daños. Si un sitio web te pide que abras el Editor de scripts, cierra la pestaña.