macOS Malware Reaper kapert Skript-Editoren und stiehlt Ledger- und Trezor-Daten

Eine neuartige macOS-Malware namens Reaper verbreitet sich über gefälschte Download-Seiten, die WeChat und Miro imitieren, löst den in das System eingebauten Skript-Editor aus und versteckt den schädlichen Code. Reaper richtet sich gegen Desktop-Krypto-Wallets wie Ledger Live, Trezor Suite und Exodus, indem es den internen Code der Wallets verändert, um zukünftige Transaktionen abzufangen und Gelder umzuleiten.

Reapers Angriffsmethoden: Skript-Editor statt Terminal

Der technische Kern von Reaper ist die Nutzung des systemseitig vorinstallierten Skript-Editors, nicht des Terminals (Apple hat in jüngsten macOS-Updates Schwachstellen im Zusammenhang mit dem Terminal behoben). Angriffsablauf: Die gefälschte Download-Website triggert über den AppleScript-applescript://-URL den Skript-Editor; der bösartige Code wird mittels ASCII-Zeichen und Leerzeichen versteckt; nach dem Klick auf den Wiedergabe-Button wird die Ausführung automatisch gestartet; anschließend erscheint ein gefälschtes Dialogfenster mit Apple-Sicherheits-Update, das zur Eingabe des Passworts für den Computer auffordert.

Reaper prüft vor dem Diebstahl das System-Kartenlayout der Tastatur – ist es auf Russisch eingestellt, stoppt die Malware die Ausführung; andernfalls startet sie ein Datenraub-Modul, das das Atomic macOS Stealer (AMOS) nachahmt. Sicherheitsforschende haben in der Infrastruktur Tippfehler bei der nachgeahmten Microsoft-Domain gefunden (mlcrosoft[.]co[.]com).

Angriffsziele und Umfang des Datenleaks

Reaper hat den folgenden Zielbereich bestätigt:

Krypto-Desktop-Wallets: Ledger Live, Trezor Suite, Exodus (Änderung interner Codes zur Abfangung von Transaktionen)

Browser-Zugänge: in Chrome, Firefox, Edge gespeicherte Passwörter; Browser-Erweiterungen wie 1Password und MetaMask

Dateitypen: .docx, .pdf, .xlsx, .wallet, .keys in Desktop- und Dokumentordnern (komprimiert in 70MB-ZIP-Blöcke und hochgeladen an einen externen Command-and-Control-Server)

Persistenzmechanismen: Installation einer Hintertür, getarnt als Google-Software-Update-Verzeichnis

Häufige Fragen

Wie lautet der Infektionsweg der Reaper-Malware?

Laut Berichten von Cryptopolitan und Moonlock verbreitet sich Reaper, indem es sich als gefälschte Download-Seiten ausgibt, die WeChat und Miro imitieren. Die Website triggert über einen AppleScript-URL automatisch den System-Skript-Editor und lädt den versteckten bösartigen Code vorab darin. Nachdem der Nutzer auf den Wiedergabe-Button im Skript-Editor geklickt hat, wird der Angriff ausgeführt; anschließend verleitet ein gefälschtes Apple-Sicherheits-Update-Dialogfenster die Betroffenen dazu, das Passwort für den Computer einzugeben.

Wie verändert Reaper Krypto-Wallets?

Reaper verändert bei Desktop-Krypto-Wallet-Anwendungen wie Ledger Live, Trezor Suite und Exodus den internen Programmcodes, sodass zukünftige Krypto-Transaktionen abgefangen und in Unkenntnis des Opfers an eine vom Angreifer kontrollierte Adresse umgeleitet werden.

Wie können Nutzer von macOS sich gegen Reaper schützen?

Sicherheitsexperten empfehlen: vor der Installation jeder neuen Software die Herkunft des Download-Links prüfen; in unerwartet auftauchenden Fenstern kein Computer-Passwort eingeben; falls eine Website auffordert, den Skript-Editor zu öffnen, den entsprechenden Tab sofort schließen; Sicherheits-Tools nutzen, die obfuskierten Skripten entgegenwirken können.