Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Вредоносная программа Reaper перехватывает редактор скриптов для опустошения криптовалютных кошельков на macOS
- Reaper — это вредоносная программа для macOS, распространяющаяся через поддельные страницы загрузки WeChat и Miro.
- Вредоносная программа нацелена на криптовалютные кошельки, такие как Ledger, Trezor и Exodus, пароли браузеров и конфиденциальные документы.
- Это уже третья кампания менее чем за два месяца, в которой используется этот автоматизированный вариант ClickFix против пользователей Mac.
Новый тип вредоносного ПО для Mac, называемый Reaper, распространяется через поддельные страницы загрузки таких приложений, как WeChat и Miro. После проникновения он крадет данные криптокошельков и сохраненные пароли браузера.
Это более изощрённая версия старого трюка, который обманом заставлял людей вставлять вредоносные команды в Терминал. Apple исправила эту уязвимость в недавнем обновлении macOS, но Reaper нашёл способ обойти её, используя другой встроенный инструмент Apple для нанесения того же ущерба.
Редактор скриптов заменяет Терминал в качестве поверхности для вредоносного ПО
Поддельные сайты для скачивания запускают редактор скриптов через URL-адрес AppleScript applescript:// .
Вредоносный код невидим. Злоумышленники маскируют его с помощью ASCII-графики и пробелов. Если пользователь нажимает кнопку воспроизведения в редакторе скриптов, он неосознанно запускает скрытые команды.
Редактор скриптов предустановлен на каждом компьютере Mac. Большинство людей не обращают внимания на вирусы.
Домены, использующие опечатки, и поддельные обновления Apple способствуют укреплению доверия
Атака начинается с поддельных доменов, которые выглядят легитимными для потенциальных жертв. Исследователи безопасности обнаружили инфраструктуру, размещенную на доменах Microsoft, использующих опечатки, в том числе mlcrosoft[.]co[.]com.
После запуска скрипта появляется мошенническое диалоговое окно обновления безопасности Apple, в котором жертве предлагается ввести пароль от компьютера.
Затем Reaper проверяет раскладку клавиатуры системы. Если клавиатура настроена на русский язык, вредоносная программа останавливается. В противном случае, вредоносная программа активирует модуль кражи данных, созданный по образцу Atomic macOS Stealer (AMOS).
Криптовалютные кошельки, браузеры и документы — все они являются объектами атаки
Вредоносная программа Reaper атакует настольные криптоприложения, включая Ledger Live, Trezor Suite и Exodus. Она модифицирует внутренний код криптокошельков, чтобы перехватывать будущие транзакции и перенаправлять средства.
Эта программа также собирает сохраненныеdentданные из Chrome, Firefox и Edge. Она также извлекает данные из расширений браузера, таких как 1Password и MetaMask.
Файлы с .docx, .pdf, .xlsx, .walletи .keys , найденные в папках «Рабочий стол» и «Документы», сжимаются в ZIP-архивы размером 70 МБ и загружаются на внешний сервер управления.
Для осуществления постоянной атаки Reaper устанавливает бэкдор, замаскированный под каталог обновлений программного обеспечения Google.
Согласно анализу Moonlock, Reaper — третья рекламная кампания за последние два месяца, которая внедрила этот автоматизированный подход с использованием AppleScript.
Исследовательская группа Microsoft Defender Security Research Team задокументировала серию кампаний, связанных с размещением поддельных руководств по устранению неполадок macOS на платформах Medium, Craft и Squarespace, о чем Cryptopolitan ранее сообщало.
В этих кампаниях использовался тот же подход ClickFix для распространения AMOS, Macsync и SHub Stealer через команды Терминала. По данным Cryptopolitan, подлинные приложения-кошельки были удалены и незаметно заменены вредоносными версиями.
Перед установкой чего-либо нового дважды проверьте ссылки для скачивания. Если всплывающее окно неожиданно запрашивает пароль от вашего Mac, не вводите его. Хороший инструмент безопасности обнаружит обфусцированные скрипты до того, как они причинят вред. Если веб-сайт предлагает открыть редактор скриптов, закройте вкладку.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Часто задаваемые вопросы
Что представляет собой вредоносная программа Reaper для macOS?
Reaper — это обновлённая версия SHub Stealer, использующая редактор скриптов Apple для выполнения скрытого вредоносного кода. Она ищет криптовалютные кошельки,dentданные браузера и личные документы.
На какие криптовалютные кошельки ориентируется Reaper?
Reaper ориентирован на настольные приложения Ledger Live, Trezor Suite и Exodus, а также на расширения для браузеров, такие как MetaMask и 1Password.
Как Reaper обходит защиту терминала macOS от Apple?
Reaper обходит Терминал и использует схему URL для открытия Редактора скриптов. Вредоносный код скрыт под видимым экраном за счет пустого пространства, и жертвы, сами того не подозревая, запускают его, нажав кнопку «Воспроизвести».
Ранда Мозес
Ранда Мозес — редактор и репортер Cryptopolitan освещающая темы технологий, искусственного интеллекта, робототехники, криптовалют, мошенничества и взломов. Она работает в криптопространстве с 2017 года. Ранее работала в Forward Protocol, AmaZix и Cryptosomniac. Ранда имеет степень в области электротехники иtron, полученную в Университете Брэдфорда.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)