Malware para macOS Reaper sequestra editores de scripts e rouba dados da Ledger e da Trezor

Um novo malware para macOS chamado Reaper espalha-se através de páginas de transferência falsas que se fazem passar por WeChat e Miro, acionando o editor de scripts integrado do sistema e ocultando o código malicioso. O Reaper tem como alvo carteiras de criptomoeda de secretária como o Ledger Live, a Trezor Suite e o Exodus, modificando o código interno das carteiras para bloquear transações futuras e redirecionar fundos.

Mecanismo de ataque do Reaper: o editor de scripts substitui o terminal

As principais características técnicas do Reaper passam por aproveitar o editor de scripts pré-instalado no sistema, em vez do terminal (as mais recentes atualizações do macOS da Apple já corrigiram vulnerabilidades relacionadas com o terminal). Fluxo do ataque: o site de transferências falsas aciona o editor de scripts via AppleScript com a URL applescript://; o código malicioso é ocultado com caracteres ASCII e espaços; após o utilizador clicar no botão de reprodução, o ataque é executado automaticamente; em seguida, é apresentado um diálogo falso de atualização de segurança da Apple, que solicita a introdução da password do computador.

Antes de roubar, o Reaper deteta o esquema de teclado do sistema — se estiver configurado para russo, o malware interrompe a operação; caso contrário, inicia o módulo de roubo de dados que imita o Atomic macOS Stealer (AMOS). Investigadores de segurança encontraram, na infraestrutura, um domínio com grafia incorreta que imita o da Microsoft (mlcrosoft[.]co[.]com).

Objetivos do ataque e âmbito de fuga de dados

O âmbito de objetivos do ataque confirmado pelo Reaper inclui:

Carteiras de criptomoeda de secretária: Ledger Live, Trezor Suite, Exodus (modificação de código interno para intercetar transações)

Credenciais do navegador: senhas armazenadas em Chrome, Firefox e Edge; extensões de browser como 1Password e MetaMask

Tipos de ficheiro: .docx, .pdf, .xlsx, .wallet e .keys em pastas de secretária e de documentos (comprimidos em blocos ZIP de 70MB e enviados para um servidor de comando e controlo externo)

Mecanismo de persistência: instalação de uma backdoor disfarçada como diretório de atualizações de software Google

Perguntas frequentes

Qual é o caminho de infeção do malware Reaper?

De acordo com os relatórios da Cryptopolitan e da Moonlock, o Reaper propaga-se através de páginas de transferência falsas que se fazem passar por WeChat e Miro; o site aciona automaticamente o editor de scripts do sistema via AppleScript URL, carregando o código malicioso oculto; quando o utilizador clica no botão de reprodução do editor de scripts, o ataque é executado, seguido por um diálogo falso de atualização de segurança da Apple que leva a vítima a inserir a password do computador.

Como é que o Reaper modifica carteiras de criptomoeda?

O Reaper altera o código interno de aplicações de carteiras de criptomoeda de secretária como Ledger Live, Trezor Suite e Exodus, para que transações futuras de criptomoedas sejam intercetadas e redirecionadas para endereços controlados pelo atacante, sem que a vítima tenha conhecimento.

Como podem os utilizadores de macOS defender-se do Reaper?

Especialistas em segurança recomendam: verificar a origem da ligação de transferência antes de instalar qualquer programa novo; não introduzir a password do computador em janelas inesperadamente apresentadas; se um site solicitar a abertura do editor de scripts, fechar imediatamente essa página; usar ferramentas de segurança capazes de intercetar scripts ofuscados.