Шкідливе ПЗ Reaper для macOS перехоплює редактори скриптів і викрадає дані Ledger та Trezor

Новий шкідливий macOS-засіб під назвою Reaper поширюється, маскуючись під фальшиві завантажувальні сторінки WeChat і Miro, що запускають вбудований у систему редактор скриптів і приховують шкідливий код. Reaper націлений на настільні криптогаманці на кшталт Ledger Live, Trezor Suite та Exodus: він змінює внутрішній код гаманців, щоб перехоплювати майбутні транзакції та перенаправляти кошти.

Механізм атак Reaper: редактор скриптів замість терміналу

Технічна особливість Reaper полягає в тому, що він використовує системний попередньо встановлений редактор скриптів, а не термінал (нещодавні оновлення macOS від Apple усунули вразливості, пов’язані з терміналом). Сценарій атаки: фальшивий сайт завантажень через URL applescript:// запускає редактор скриптів; шкідливий код приховується за допомогою ASCII-символів і пробілів; після натискання користувачем кнопки відтворення атака запускається автоматично; одразу з’являється підроблене діалогове вікно безпекового оновлення Apple, яке просить ввести пароль комп’ютера.

Перед крадіжкою Reaper перевіряє компонування системної клавіатури — якщо вона налаштована на російську, шкідливе програмне забезпечення зупиняє роботу; інакше запускає модуль викрадення даних, що імітує Atomic macOS Stealer (AMOS). Безпекові дослідники виявили в інфраструктурі друкарську помилку в підробленому домені, що імітує Microsoft (mlcrosoft[.]co[.]com).

Цілі атаки та масштаб витоку даних

Reaper підтвердив такі цілі атаки:

Криптовалютні настільні гаманці: Ledger Live, Trezor Suite, Exodus (зміна внутрішнього коду для перехоплення транзакцій)

Облікові дані браузера: паролі, збережені в Chrome, Firefox, Edge; браузерні розширення на кшталт 1Password і MetaMask

Типи файлів: .docx, .pdf, .xlsx, .wallet, .keys з настільних і файлових папок (стискаються в 70MB ZIP-частини та завантажуються на зовнішній сервер командування й керування)

Механізм стійкості: бекдор, встановлений під виглядом каталогу оновлень Google

Поширені запитання

Який шлях зараження у Reaper?

Згідно зі звітом Cryptopolitan і Moonlock, Reaper поширюється, маскуючись під фальшиві завантажувальні сторінки WeChat і Miro; сайт через URL AppleScript автоматично запускає редактор скриптів системи та попередньо завантажує прихований шкідливий код; після натискання користувачем кнопки відтворення в редакторі скриптів виконується атака, а потім підроблене діалогове вікно безпекового оновлення Apple спонукає жертву ввести пароль комп’ютера.

Як Reaper змінює криптогаманці?

Reaper для настільних криптогаманець на кшталт Ledger Live, Trezor Suite та Exodus змінює код їхніх внутрішніх програм, щоб майбутні транзакції з криптовалютою перехоплювалися та непомітно для жертви перенаправлялися на адресу, контрольовану атакувальником.

Як користувачам macOS захиститися від Reaper?

Безпекові експерти радять: перед встановленням будь-якої нової програми перевіряти джерело посилання для завантаження; не вводити пароль комп’ютера у випадкових спливаючих вікнах; якщо сайт пропонує увімкнути редактор скриптів — негайно закривати цю вкладку; використовувати безпекові інструменти, що здатні перехоплювати обфускацію скриптів.