ReaperマルウェアがmacOS上のスクリプトエディタを乗っ取り、暗号通貨ウォレットから資金を抜き取る

Reaperと呼ばれる新しいタイプのMacマルウェアが、WeChatやMiroなどのアプリの偽ダウンロードページを通じて拡散している。一度侵入すると、仮想通貨ウォレットのデータや保存されているブラウザのパスワードを盗み出す。.

これは、かつて人々を騙して悪意のあるコマンドをターミナルに貼り付けさせるという古い手口の、より巧妙なバージョンです。Appleは最近のmacOSアップデートでこの脆弱性を修正しましたが、ReaperはAppleの別の組み込みツールを使って同様の被害を与える方法を見つけました。.

スクリプトエディタがマルウェアのインターフェースとしてターミナルに取って代わる

偽のダウンロードサイトは、AppleScript の applescript:// URL を介してスクリプトエディタを起動します。

悪意のあるコードは目に見えません。攻撃者はASCIIアートと空白文字を使ってコードを隠しています。ユーザーがスクリプトエディタの再生ボタンをクリックすると、知らず知らずのうちに隠されたコマンドが実行されてしまいます。.

スクリプトエディタはすべてのMacコンピュータにプリインストールされています。ほとんどの人はウイルスとは縁遠い存在です。.

不正に取得されたドメインと偽のAppleアップデートが信頼を築く

攻撃は、潜在的な被害者にとって正規のドメインに見える偽のドメインから始まります。セキュリティ研究者は、 mlcrosoft[.]co[.]com。

スクリプトが実行されると、偽のAppleセキュリティアップデートダイアログが表示され、被害者にコンピュータのパスワードを入力するよう促します。.

Reaperは次にシステムのキーボードレイアウトをチェックします。キーボードがロシア語に設定されている場合、マルウェアは停止します。そうでない場合、マルウェアはAtomic macOS Stealer（AMOS）を模倣したデータ窃盗モジュールを起動します。.

暗号通貨ウォレット、ブラウザ、ドキュメントはすべて標的となっている。

Reaperは、Ledger Live、Trezor Suite、Exodusなどのデスクトップ型暗号通貨アプリケーションを標的とするマルウェアです。このマルウェアは、暗号通貨ウォレットの内部コードを改変し、将来の取引を傍受して資金を不正に送金します。.

このマルウェアは、Chrome、Firefox、Edgeに保存されているdent情報も収集します。また、1PasswordやMetaMaskといったブラウザ拡張機能からもデータを取得します。.

デスクトップフォルダとドキュメントフォルダにある、拡張子が.docx 、 .pdf 、 .xlsx 、 .wallet 、 .keysのファイルは、70MBのZIPファイルに圧縮され、外部のコマンド＆コントロールサーバーにアップロードされます。

持続的な攻撃を行うために、ReaperはGoogleソフトウェアアップデートディレクトリを装ったバックドアをインストールします。.

Moonlockの分析によると、Reaperは、この自動化されたAppleScriptアプローチを採用した、ここ2か月ほどの3番目のキャンペーンとなる。.

MicrosoftのDefenderセキュリティ研究チームは、Medium、Craft、Squarespaceに投稿された偽のmacOSトラブルシューティングガイドに関連する一連のキャンペーンを記録しており、これは Cryptopolitan 以前 報じたものである。

これらのキャンペーンでは、ClickFixと同じ手法を用いて、ターミナルコマンドを通じてAMOS、Macsync、SHub Stealerが配信された Cryptopolitanによると、正規のウォレットアプリは削除され、悪意のあるバージョンに密かに置き換えられたという。.

新しいものをインストールする前に、ダウンロードリンクを必ず確認してください。ポップアップでMacのパスワードを求められた場合は、入力しないでください。優れたセキュリティツールは、難読化されたスクリプトが被害を与える前に検出します。ウェブサイトでスクリプトエディタを開くように指示された場合は、タブを閉じてください。.