Un nouveau type de malware Mac appelé Reaper se propage à travers des pages de téléchargement frauduleuses pour des applis comme WeChat et Miro. Une fois à l'intérieur, il vole les données de portefeuille crypto et les mots de passe de navigateur enregistrés.
C'est une version plus astucieuse d'une ancienne ruse qui trompait les gens en leur faisant coller des commandes malveillantes dans le Terminal. Apple a corrigé cette faille dans une mise à jour récente de macOS, mais Reaper a trouvé un moyen de contourner cela, en utilisant un autre outil intégré d'Apple pour causer les mêmes dégâts.
L'Éditeur de Scripts remplace le Terminal en tant que surface de malware
Les sites de téléchargement frauduleux déclenchent l'Éditeur de Scripts via une URL AppleScript applescript://.
Le code malveillant est invisible. Les attaquants le cachent en utilisant de l'art ASCII et des espaces vides. Si un utilisateur clique sur le bouton de lecture dans l'Éditeur de Script, il exécute sans le savoir des commandes cachées.
L'Éditeur de Script est préinstallé sur chaque ordinateur Mac. La plupart des gens ne se rapportent pas aux virus.
Les domaines typographiés et les fausses mises à jour Apple établissent la confiance.
L'attaque commence sur de faux domaines qui semblent légitimes aux victimes potentielles. Des chercheurs en sécurité ont découvert une infrastructure hébergée sur des domaines Microsoft typographiés, y compris mlcrosoft[.]co[.]com.
Une fois que le script s'exécute, un faux dialogue de mise à jour de sécurité Apple invite la victime à entrer son mot de passe d'ordinateur.
Reaper vérifie ensuite la disposition du clavier du système. Si le clavier est configuré pour la langue russe, le malware s'arrête. Sinon, le malware active un module de vol de données modélisé sur l'Atomic macOS Stealer (AMOS).
Le code WeChat faux s'ouvre dans l'Éditeur de Script. Source : Moonlock.
Les portefeuilles crypto, navigateurs et documents sont tous ciblés.
Reaper s'attaque aux applications crypto de bureau, y compris Ledger Live, Trezor Suite et Exodus. Le malware modifie le code interne des portefeuilles crypto pour intercepter les transactions futures et rediriger les fonds.
Le voleur récolte également les identifiants sauvegardés de Chrome, Firefox et Edge. Il extrait des données d'extensions de navigateur comme 1Password et MetaMask aussi.
Les fichiers avec les extensions .docx, .pdf, .xlsx, .wallet et .keys trouvés dans les dossiers Bureau et Documents sont compressés en morceaux ZIP de 70 Mo et téléchargés sur un serveur externe de commande et de contrôle.
Pour une attaque persistante, Reaper installe une porte dérobée déguisée en répertoire de mise à jour logicielle Google.
Reaper est la troisième campagne en environ deux mois à adopter cette approche automatisée d'AppleScript, selon l'analyse de Moonlock.
L'équipe de recherche en sécurité Defender de Microsoft a documenté un ensemble de campagnes connexes impliquant de faux guides de dépannage macOS publiés sur Medium, Craft et Squarespace, comme l'a précédemment rapporté Cryptopolitan.
Ces campagnes ont utilisé la même approche ClickFix pour livrer AMOS, Macsync et SHub Stealer via des commandes Terminal. Les applications de portefeuille authentiques ont été supprimées et silencieusement échangées contre des versions malveillantes, selon Cryptopolitan.
Vérifiez deux fois les liens de téléchargement avant d'installer quoi que ce soit de nouveau. Si une fenêtre pop-up demande soudainement votre mot de passe Mac, ne le saisissez pas. Un bon outil de sécurité attrapera les scripts obfusqués avant qu'ils ne causent des dommages. Si un site web vous demande d'ouvrir l'Éditeur de Script, fermez l'onglet.
Ne vous contentez pas de lire les nouvelles crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.