Malware macOS Reaper membajak editor skrip, mencuri data Ledger dan Trezor

Sebuah malware macOS baru bernama Reaper menyebar lewat halaman unduhan palsu yang menyamar sebagai WeChat dan Miro, memicu editor skrip bawaan sistem, serta menyembunyikan kode berbahaya. Reaper menargetkan dompet kripto desktop seperti Ledger Live, Trezor Suite, dan Exodus, dengan memodifikasi kode internal dompet untuk mencegat transaksi di masa mendatang dan mengalihkan dana.

Mekanisme Serangan Reaper: Editor Skrip Menggantikan Terminal

Ciri teknis Reaper adalah memanfaatkan editor skrip yang sudah terpasang di sistem, bukan terminal (pembaruan macOS terbaru Apple telah memperbaiki kerentanan terkait terminal). Alur serangan: situs web unduhan palsu memicu editor skrip melalui URL applescript:// AppleScript; kode berbahaya disembunyikan menggunakan karakter ASCII dan spasi; setelah pengguna mengklik tombol putar, kode otomatis dieksekusi; lalu muncullah dialog pembaruan keamanan Apple palsu yang meminta input sandi komputer.

Sebelum mencuri, Reaper memeriksa tata letak keyboard sistem—jika dikonfigurasi untuk bahasa Rusia, malware menghentikan operasinya; jika tidak, ia mengaktifkan modul pencurian data yang meniru Atomic macOS Stealer (AMOS). Peneliti keamanan menemukan domain tiruan mirip Microsoft yang memiliki salah eja di infrastruktur (mlcrosoft[.]co[.]com).

Target Serangan dan Cakupan Kebocoran Data

Reaper mengonfirmasi cakupan target serangan berikut:

Dompet kripto desktop: Ledger Live, Trezor Suite, Exodus (memodifikasi kode internal untuk mencegat transaksi)

Kredensial browser: kata sandi yang tersimpan di Chrome, Firefox, Edge; ekstensi browser seperti 1Password dan MetaMask

Jenis file: .docx, .pdf, .xlsx, .wallet, .keys di folder desktop dan dokumen (dikompresi menjadi potongan ZIP ukuran 70MB lalu diunggah ke server perintah dan kontrol eksternal)

Mekanisme persistensi: memasang backdoor yang disamarkan sebagai direktori pembaruan perangkat lunak Google

FAQ

Bagaimana jalur infeksi malware Reaper?

Menurut laporan Cryptopolitan dan Moonlock, Reaper menyebar dengan menyamar sebagai halaman unduhan palsu yang mirip WeChat dan Miro. Situs web memicu otomatis editor skrip sistem melalui AppleScript URL, lalu memuat kode berbahaya yang disembunyikan di dalamnya; setelah pengguna mengklik tombol putar di editor skrip, serangan dieksekusi, kemudian dialog pembaruan keamanan Apple palsu mendorong korban untuk memasukkan sandi komputer.

Bagaimana Reaper memodifikasi dompet kripto?

Reaper menargetkan aplikasi dompet kripto desktop seperti Ledger Live, Trezor Suite, dan Exodus, dengan memodifikasi kode program internalnya agar transaksi mata uang kripto di masa mendatang dicegat tanpa sepengetahuan korban dan dialihkan ke alamat yang dikendalikan penyerang.

Bagaimana pengguna macOS dapat mencegah Reaper?

Para ahli keamanan menyarankan: verifikasi sumber tautan unduhan sebelum menginstal program baru apa pun; jangan masukkan sandi komputer di jendela yang muncul secara tak terduga; jika situs web meminta untuk mengaktifkan editor skrip, segera tutup halaman tab tersebut; gunakan alat keamanan yang dapat mencegat skrip yang diaburkan.