Les meilleures analyses crypto directement dans votre boîte mail.
Le logiciel malveillant Reaper détourne l'Éditeur de scripts pour vider les portefeuilles de cryptomonnaies sur macOS
- Reaper est un logiciel espion pour macOS qui se propage via de fausses pages de téléchargement pour WeChat et Miro.
- Ce logiciel malveillant cible les portefeuilles de cryptomonnaies comme Ledger, Trezor et Exodus, les mots de passe des navigateurs et les documents sensibles.
- Il s'agit de la troisième campagne en moins de deux mois utilisant cette variante automatisée de ClickFix contre les utilisateurs de Mac.
Un nouveau type de logiciel malveillant pour Mac, appelé Reaper, se propage via de fausses pages de téléchargement d'applications comme WeChat et Miro. Une fois installé, il vole les données des portefeuilles de cryptomonnaies et les mots de passe enregistrés dans le navigateur.
Il s'agit d'une version plus sophistiquée d'une ancienne technique qui permettait d'inciter les utilisateurs à coller des commandes malveillantes dans le Terminal. Apple a corrigé cette faille dans une récente mise à jour de macOS, mais Reaper a trouvé un moyen de la contourner en utilisant un autre outil intégré d'Apple pour causer les mêmes dégâts.
L'éditeur de scripts remplace le terminal comme surface d'exposition des logiciels malveillants
Les faux sites de téléchargement déclenchent l'Éditeur de scripts via une URL AppleScript applescript:// .
Le code malveillant est invisible. Les attaquants le dissimulent à l'aide de caractères ASCII et d'espaces blancs. Si un utilisateur clique sur le bouton « Exécuter » dans l'éditeur de script, il exécute à son insu des commandes cachées.
L'éditeur de scripts est préinstallé sur tous les ordinateurs Mac. La plupart des gens ne connaissent pas les virus.
Les domaines typosquattés et les fausses mises à jour d'Apple renforcent la confiance
L'attaque commence par de faux domaines qui paraissent légitimes aux victimes potentielles. Des chercheurs en sécurité ont découvert une infrastructure hébergée sur des domaines Microsoft falsifiés par typosquatting, notamment mlcrosoft[.]co[.]com.
Une fois le script exécuté, une boîte de dialogue frauduleuse de mise à jour de sécurité Apple invite la victime à saisir le mot de passe de son ordinateur.
Reaper vérifie ensuite la configuration du clavier du système. Si le clavier est configuré en russe, le logiciel malveillant s'arrête. Dans le cas contraire, il active un module de vol de données inspiré d'Atomic macOS Stealer (AMOS).
Les portefeuilles de cryptomonnaies, les navigateurs et les documents sont tous ciblés
Reaper cible les applications de cryptomonnaies pour ordinateur, notamment Ledger Live, Trezor Suite et Exodus. Ce logiciel malveillant modifie le code interne des portefeuilles de cryptomonnaies afin d'intercepter les transactions futures et de détourner les fonds.
Le logiciel malveillant récupère égalementdentenregistrés dans Chrome, Firefox et Edge. Il extrait aussi des données des extensions de navigateur comme 1Password et MetaMask.
Les fichiers ayant les .docx, .pdf, .xlsx, .walletet .keys trouvés dans les dossiers Bureau et Documents sont compressés en morceaux ZIP de 70 Mo et téléchargés sur un serveur de commande et de contrôle externe.
Pour une attaque persistante, Reaper installe une porte dérobée déguisée en répertoire de mise à jour logicielle Google.
D'après l'analyse de Moonlock, Reaper est la troisième campagne en deux mois environ à adopter cette approche automatisée via AppleScript.
L'équipe de recherche en sécurité Defender de Microsoft a documenté un ensemble de campagnes connexes impliquant de faux guides de dépannage macOS publiés sur Medium, Craft et Squarespace, comme Cryptopolitan précédemment signalé.
Ces campagnes utilisaient la même méthode ClickFix pour diffuser AMOS, Macsync et SHub Stealer via des commandes Terminal. Selon Cryptopolitan, les applications de portefeuille légitimes étaient supprimées et remplacées silencieusement par des versions malveillantes.
Vérifiez toujours les liens de téléchargement avant d'installer un nouveau logiciel. Si une fenêtre contextuelle vous demande votre mot de passe Mac de manière inattendue, ne le saisissez pas. Un bon outil de sécurité détectera les scripts obscurcis avant qu'ils ne causent des dommages. Si un site web vous invite à ouvrir l'Éditeur de scripts, fermez l'onglet.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
FAQ
Qu'est-ce que le logiciel malveillant Reaper pour macOS ?
Reaper est une variante mise à jour de SHub Stealer qui utilise l'Éditeur de scripts d'Apple pour exécuter du code malveillant dissimulé. Il recherche les portefeuilles de cryptomonnaies, lesdentde navigation et les documents personnels.
Quels portefeuilles de cryptomonnaies Reaper cible-t-il ?
Reaper cible les applications de bureau Ledger Live, Trezor Suite et Exodus, ainsi que les extensions de navigateur comme MetaMask et 1Password.
Comment Reaper contourne-t-il les protections du Terminal macOS d'Apple ?
Reaper contourne le Terminal et utilise une URL pour ouvrir l'éditeur de scripts. Le code malveillant est dissimulé sous l'écran par des espaces blancs, et les victimes l'exécutent à leur insu en cliquant sur « Lecture ».
Randa Moses
Randa Moses est rédactrice et journaliste chez Cryptopolitan où elle couvre les technologies, l'intelligence artificielle, la robotique, les cryptomonnaies, les arnaques et le piratage informatique. Elle travaille dans le secteur des cryptomonnaies depuis 2017 et a notamment travaillé chez Forward Protocol, AmaZix et Cryptosomniac. Randa est diplômée en génie électrique ettronde l'Université de Bradford.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)