Зловред macOS Reaper перехватывает редактор сценариев и похищает данные Ledger и Trezor

Новый macOS-вредоносник под названием Reaper распространяется через поддельные страницы загрузки под видом WeChat и Miro, вызывая встроенный в систему редактор скриптов, и скрывает вредоносный код. Reaper нацелен на настольные криптокошельки, такие как Ledger Live, Trezor Suite и Exodus: он модифицирует код внутри кошельков, чтобы перехватывать будущие транзакции и перенаправлять средства.

Механизм атаки Reaper: редактор скриптов вместо терминала

Техническая особенность Reaper — использование системного предустановленного редактора скриптов, а не терминала (в последних обновлениях macOS Apple связанные с терминалом уязвимости были устранены). Процесс атаки: фальшивый сайт загрузки через URL applescript:// запускает редактор скриптов; вредоносный код прячется с помощью ASCII-символов и пробелов; после того как пользователь нажимает кнопку «Воспроизвести», он автоматически выполняется; затем сразу появляется поддельное диалоговое окно «безопасного обновления Apple», которое требует ввести пароль компьютера.

Перед кражей Reaper проверяет раскладку системной клавиатуры: если она настроена на русский язык, вредоносник прекращает работу; иначе запускается модуль кражи данных, имитирующий Atomic macOS Stealer (AMOS). Исследователи безопасности обнаружили в инфраструктуре опечаточный домен, имитирующий домен в стиле Microsoft (mlcrosoft[.]co[.]com).

Цели атаки и масштаб утечки данных

Reaper подтверждает следующий круг целей атаки:

Криптовалютные настольные кошельки: Ledger Live, Trezor Suite, Exodus (модификация внутреннего кода для перехвата транзакций)

Браузерные учётные данные: пароли, сохранённые в Chrome, Firefox, Edge; расширения браузеров, такие как 1Password и MetaMask

Типы файлов: .docx, .pdf, .xlsx, .wallet, .keys из настольных и файловых папок (сжимается в фрагменты ZIP по 70MB и загружается на внешний сервер управления и команд)

Механизм персистентности: установка бэкдора, маскируемого под каталог обновлений Google

Часто задаваемые вопросы

Какой путь заражения у вредоносного ПО Reaper?

Согласно отчётам Cryptopolitan и Moonlock, Reaper распространяется, маскируясь под поддельные страницы загрузки под WeChat и Miro. Сайт через AppleScript URL автоматически запускает редактор скриптов системы и предварительно загружает скрытый вредоносный код; после того как пользователь нажимает кнопку воспроизведения в редакторе скриптов, выполняется атака, затем поддельное диалоговое окно «безопасного обновления Apple» побуждает жертву ввести пароль компьютера.

Как Reaper модифицирует криптокошельки?

Reaper нацеливается на настольные приложения криптокошельков, такие как Ledger Live, Trezor Suite и Exodus, и изменяет код их внутренних программ, чтобы будущие транзакции криптовалюты перехватывались и перенаправлялись на адреса, контролируемые атакующим, без ведома жертвы.

Как пользователям macOS защититься от Reaper?

Советуют специалисты по безопасности: перед установкой любой новой программы проверять источник ссылки для скачивания; не вводить пароль компьютера во всплывающих окнах, появившихся неожиданно; если сайт предлагает включить редактор скриптов — немедленно закрыть эту вкладку; использовать защитные инструменты, способные перехватывать обфусцированные скрипты.