O malware Reaper sequestra o Editor de Scripts para drenar carteiras de criptomoedas no macOS

Um novo tipo de malware para Mac chamado Reaper está se espalhando por meio de páginas de download falsas de aplicativos como WeChat e Miro. Uma vez instalado, ele rouba dados de carteiras de criptomoedas e senhas salvas do navegador.

É uma versão mais inteligente de um truque antigo que enganava as pessoas para que colassem comandos maliciosos no Terminal. A Apple corrigiu essa falha em uma atualização recente do macOS, mas o Reaper encontrou uma maneira de contorná-la, usando uma ferramenta nativa da Apple para causar o mesmo dano.

O Editor de Scripts substitui o Terminal como superfície de malware

Os sites de download falsos acionam o Editor de Scripts por meio de um URL AppleScript applescript:// .

O código malicioso é invisível. Os atacantes o ocultam usando arte ASCII e espaços em branco. Se um usuário clicar no botão "Reproduzir" no Editor de Scripts, ele executará, sem saber, comandos ocultos.

O Editor de Scripts vem pré-instalado em todos os computadores Mac. A maioria das pessoas não se relaciona com vírus.

Domínios com erros de digitação e atualizações falsas da Apple geram confiança

O ataque começa em domínios falsos que parecem legítimos para potenciais vítimas. Pesquisadores de segurança descobriram infraestrutura hospedada em domínios da Microsoft com typosquatting, incluindo mlcrosoft[.]co[.]com.

Após a execução do script, uma caixa de diálogo fraudulenta de atualização de segurança da Apple solicita que a vítima insira a senha do computador.

Em seguida, o Reaper verifica o layout do teclado do sistema. Se o teclado estiver configurado para o idioma russo, o malware é interrompido. Caso contrário, o malware ativa um módulo de roubo de dados inspirado no Atomic macOS Stealer (AMOS).

Carteiras de criptomoedas, navegadores e documentos são todos alvos

O Reaper ataca aplicativos de criptomoedas para desktop, incluindo Ledger Live, Trezor Suite e Exodus. O malware modifica o código interno das carteiras de criptomoedas para interceptar transações futuras e redirecionar fundos.

O programa também coletadentsalvas do Chrome, Firefox e Edge. Ele extrai dados de extensões de navegador como 1Password e MetaMask também.

Os arquivos com .docx, .pdf, .xlsx, .wallete .keys encontrados nas pastas Área de Trabalho e Documentos são compactados em blocos ZIP de 70 MB e enviados para um servidor externo de comando e controle.

Para um ataque persistente, o Reaper instala uma porta dos fundos disfarçada de diretório de atualização de software do Google.

De acordo com a análise da Moonlock, Reaper é a terceira campanha em cerca de dois meses a adotar essa abordagem automatizada com AppleScript.

A equipe de pesquisa de segurança do Microsoft Defender documentou um conjunto relacionado de campanhas envolvendo guias falsos de solução de problemas do macOS publicados no Medium, Craft e Squarespace, conforme Cryptopolitan anteriormente relatado.

Essas campanhas usaram a mesma abordagem do ClickFix para distribuir o AMOS, o Macsync e o SHub Stealer por meio de comandos do Terminal. Aplicativos de carteira legítimos foram excluídos e substituídos silenciosamente por versões maliciosas, de acordo com o Cryptopolitan.

Verifique os links de download duas vezes antes de instalar qualquer coisa nova. Se uma janela pop-up inesperadamente pedir a senha do seu Mac, não a digite. Uma boa ferramenta de segurança detectará scripts ofuscados antes que causem danos. Se algum site pedir para você abrir o Editor de Scripts, feche a aba.