Il malware Reaper dirotta Script Editor per svuotare i portafogli di criptovalute su macOS

Un nuovo tipo di malware per Mac, chiamato Reaper, si sta diffondendo tramite false pagine di download di app come WeChat e Miro. Una volta penetrato nel sistema, ruba i dati dei portafogli di criptovalute e le password salvate nel browser.

Si tratta di una versione più sofisticata di un vecchio trucco utilizzato per indurre gli utenti a incollare comandi dannosi nel Terminale. Apple ha corretto questa falla con un recente aggiornamento di macOS, ma Reaper ha trovato un modo per aggirarla, sfruttando un diverso strumento integrato di Apple per ottenere lo stesso risultato.

L'editor di script sostituisce il Terminale come superficie di individuazione del malware

I falsi siti di download attivano Script Editor tramite un URL AppleScript applescript:// .

Il codice dannoso è invisibile. Gli aggressori lo nascondono utilizzando grafica ASCII e spazi bianchi. Se un utente fa clic sul pulsante di riproduzione nell'editor di script, esegue inconsapevolmente dei comandi nascosti.

Script Editor è preinstallato su ogni computer Mac. La maggior parte delle persone non ha familiarità con i virus.

I domini typosquat e i falsi aggiornamenti Apple creano fiducia

L'attacco inizia su domini falsi che appaiono legittimi alle potenziali vittime. I ricercatori di sicurezza hanno scoperto un'infrastruttura ospitata su domini Microsoft con typosquatting, tra cui mlcrosoft[.]co[.]com.

Una volta eseguito lo script, una finestra di dialogo fraudolenta relativa a un aggiornamento di sicurezza Apple chiede alla vittima di inserire la password del proprio computer.

Reaper controlla quindi il layout della tastiera del sistema. Se la tastiera è configurata per la lingua russa, il malware si arresta. In caso contrario, il malware attiva un modulo di furto di dati modellato su Atomic macOS Stealer (AMOS).

I portafogli di criptovalute, i browser e i documenti sono tutti presi di mira

Reaper prende di mira le applicazioni desktop per la gestione di criptovalute, tra cui Ledger Live, Trezor Suite ed Exodus. Il malware modifica il codice interno dei portafogli di criptovalute per intercettare le transazioni future e reindirizzare i fondi.

Il programma di furto di dati raccoglie anche ledentsalvate da Chrome, Firefox ed Edge. Estrae inoltre dati da estensioni del browser come 1Password e MetaMask.

I file con .docx, .pdf, .xlsx, .wallete .keys presenti nelle cartelle Desktop e Documenti vengono compressi in blocchi ZIP da 70 MB e caricati su un server di comando e controllo esterno.

Per un attacco persistente, Reaper installa una backdoor camuffata da directory di aggiornamento software di Google.

Secondo l'analisi di Moonlock, Reaper è la terza campagna, nel giro di circa due mesi, ad adottare questo approccio automatizzato basato su AppleScript.

Il team di ricerca sulla sicurezza Defender di Microsoft ha documentato una serie di campagne correlate che coinvolgono false guide alla risoluzione dei problemi di macOS pubblicate su Medium, Craft e Squarespace, come Cryptopolitan già riportato.

Queste campagne hanno utilizzato lo stesso approccio ClickFix per distribuire AMOS, Macsync e SHub Stealer tramite comandi da Terminale. Le app di wallet legittime sono state eliminate e sostituite silenziosamente con versioni dannose, secondo quanto riportato da Cryptopolitan.

Prima di installare qualsiasi nuovo programma, verifica attentamente i link di download. Se una finestra pop-up ti chiede inaspettatamente la password del tuo Mac, non inserirla. Un buon strumento di sicurezza rileverà gli script offuscati prima che possano causare danni. Se un sito web ti invita ad aprire Script Editor, chiudi la scheda.