Usuários do macOS perdem criptomoedas após ataque de roubo de dados via Reaper que burla o Terminal

Um novo tipo de malware para Mac chamado Reaper está se espalhando por meio de páginas de download falsas de aplicativos como WeChat e Miro. Uma vez instalado, ele rouba dados de carteiras de criptomoedas e senhas salvas do navegador.

É uma versão mais inteligente de um truque antigo que enganava as pessoas para que colassem comandos maliciosos no Terminal. A Apple corrigiu essa falha em uma atualização recente do macOS, mas o Reaper encontrou uma maneira de contorná-la, usando uma ferramenta nativa da Apple para causar o mesmo dano.

O Editor de Scripts substitui o Terminal como superfície de malware

Os sites de download falsos acionam o Editor de Scripts por meio de um URL AppleScript applescript:// .

O código malicioso é invisível. Os atacantes o ocultam usando arte ASCII e espaços em branco. Se um usuário clicar no botão "Reproduzir" no Editor de Scripts, ele executará, sem saber, comandos ocultos.

O Editor de Scripts vem pré-instalado em todos os computadores Mac. A maioria das pessoas não se relaciona com vírus.

Domínios com erros de digitação e atualizações falsas da Apple geram confiança

O ataque começa em domínios falsos que parecem legítimos para potenciais vítimas. Pesquisadores de segurança descobriram infraestrutura hospedada em domínios da Microsoft com typosquatting, incluindo mlcrosoft[.]co[.]com.

Após a execução do script, uma caixa de diálogo fraudulenta de atualização de segurança da Apple solicita que a vítima insira a senha do computador.

Em seguida, o Reaper verifica o layout do teclado do sistema. Se o teclado estiver configurado para o idioma russo, o malware é interrompido. Caso contrário, o malware ativa um módulo de roubo de dados inspirado no Atomic macOS Stealer (AMOS).

Carteiras de criptomoedas, navegadores e documentos são todos alvos

O Reaper ataca aplicativos de criptomoedas para desktop, incluindo Ledger Live, Trezor Suite e Exodus. O malware modifica o código interno das carteiras de criptomoedas para interceptar transações futuras e redirecionar fundos.

O programa também coletadentsalvas do Chrome, Firefox e Edge. Ele extrai dados de extensões de navegador como 1Password e MetaMask também.

Os arquivos com .docx, .pdf, .xlsx, .wallete .keys encontrados nas pastas Área de Trabalho e Documentos são compactados em blocos ZIP de 70 MB e enviados para um servidor externo de comando e controle.

Para um ataque persistente, o Reaper instala uma porta dos fundos disfarçada de diretório de atualização de software do Google.

De acordo com a análise da Moonlock, Reaper é a terceira campanha em cerca de dois meses a adotar essa abordagem automatizada com AppleScript.

A equipe de pesquisa de segurança do Microsoft Defender documentou um conjunto relacionado de campanhas envolvendo guias falsos de solução de problemas do macOS publicados no Medium, Craft e Squarespace, conforme Cryptopolitan anteriormente relatado.

Essas campanhas usaram a mesma abordagem do ClickFix para distribuir o AMOS, o Macsync e o SHub Stealer por meio de comandos do Terminal. Aplicativos de carteira legítimos foram excluídos e substituídos silenciosamente por versões maliciosas, de acordo com o Cryptopolitan.

Verifique os links de download duas vezes antes de instalar qualquer coisa nova. Se uma janela pop-up inesperadamente pedir a senha do seu Mac, não a digite. Uma boa ferramenta de segurança detectará scripts ofuscados antes que causem danos. Se algum site pedir para você abrir o Editor de Scripts, feche a aba.

Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.