Новое вредоносное ПО для Mac нацелено на криптопользователей. Reaper обходит защиту Apple и крадет данные кошельков

Пользователи Mac сталкиваются с новой угрозой кибербезопасности. Исследователи безопасности выявили новый штамм вредоносного ПО под названием Reaper, который нацелен на держателей криптовалюты и способен обходить некоторые встроенные средства защиты macOS.
Вредоносное ПО распространяется через фальшивые страницы загрузки, имитирующие популярные приложения. Как только жертва запускает вредоносный скрипт, Reaper начинает собирать учетные данные, данные криптовалютных кошельков и конфиденциальные документы, хранящиеся на устройстве.
Злоумышленники нашли новый способ обойти безопасность macOSДо недавнего времени киберпреступники часто полагались на техники социальной инженерии, заставляющие пользователей вручную выполнять вредоносные команды в терминале.
Apple постепенно закрыла многие из этих векторов атаки через обновления безопасности. Однако создатели Reaper нашли новый подход.
Вместо злоупотребления терминалом, вредоносное ПО использует редактор скриптов, встроенное приложение macOS, которое предустановлено на каждом Mac. Поскольку большинство пользователей редко взаимодействуют с ним, немногие осознают потенциальные риски безопасности, которые он может представлять.
Зловредные сайты могут автоматически запускать редактор скриптов и отображать то, что кажется безобидным скриптом. На самом деле опасный код скрыт среди ASCII-арта, пробелов и других элементов, что затрудняет его обнаружение обычными пользователями.
Один клик на кнопку Запуск может быть достаточным, чтобы дать злоумышленникам доступ к системе.
Фальшивые сайты созданы, чтобы выглядеть легитимнымиКампания полагается на обманчивые домены, которые очень похожи на известные компании и программные платформы.
Исследователи безопасности обнаружили сайты, использующие техники опечаток, заставляющие их выглядеть надежными на первый взгляд.
Как только скрипт запущен, жертвам часто показывают фальшивое уведомление о безопасности Apple, запрашивающее пароль Mac.
Это момент, когда злоумышленники получают доступ к более конфиденциальным областям системы.
Интересно, что вредоносное ПО сначала проверяет раскладку клавиатуры устройства. Если оно обнаруживает русскую раскладку, атака немедленно прекращается. Это поведение часто наблюдается в кампаниях вредоносного ПО и может предложить подсказки о происхождении операторов, стоящих за атакой.
Крипто-кошельки и менеджеры паролей – основные целиОсновная цель вредоносного ПО – компрометировать приложения, связанные с криптовалютой.
Reaper специально нацеливается на популярные кошельки, такие как Ledger Live, Trezor Suite и Exodus. По словам исследователей, он может манипулировать внутренними файлами кошельков и перехватывать будущие транзакции.
Помимо крипто-кошельков, вредоносное ПО также сильно фокусируется на веб-браузерах.
Она пытается извлечь сохраненные учетные данные из Chrome, Firefox и Microsoft Edge, а также собирать данные из расширений браузеров, таких как MetaMask, и менеджеров паролей, таких как 1Password.
Криптовалютные активы не единственная цель.
Reaper также крадет конфиденциальные документыАнализ безопасности показывает, что вредоносное ПО активно сканирует как папки Desktop, так и Documents в поисках ценных файлов.
Среди типов файлов, на которые нацелены:
Документы Microsoft Word (.docx)
PDF файлы (.pdf)
Excel таблицы (.xlsx)
Резервные файлы кошельков (.wallet)
Файлы приватного ключа и резервные копии (.keys)
Собранные файлы сжимаются в архивы и передаются на удаленные серверы управления и контроля, управляемые злоумышленниками.
В некоторых случаях Reaper также устанавливает скрытую заднюю дверь, обеспечивающую длительный доступ к устройству даже после перезагрузки системы.
Фальшивый код WeChat открывается в редакторе скриптов. Источник: Moonlock.
Третья похожая кампания всего за несколько недельПо словам экспертов в области кибербезопасности, Reaper – это не единичный случай.
Это третья крупная кампания за примерно два месяца, использующая аналогичную технику атаки на основе AppleScript в сочетании с тактиками социальной инженерии.
Исследователи также связали эту активность с более широкими кампаниями, связанными с фальшивыми руководствами по устранению неполадок и мошенническим контентом технической поддержки, опубликованным на различных веб-платформах. Эти кампании были связаны с другими известными семействами вредоносных программ, разработанными для кражи криптовалютных активов и конфиденциальной личной информации.
Как пользователи могут защитить себя?Специалисты по безопасности рекомендуют проявлять крайнюю осторожность при загрузке программного обеспечения из неофициальных источников.
Пользователи всегда должны проверять адреса веб-сайтов перед загрузкой приложений и быть крайне подозрительными к неожиданным запросам на ввод паролей системы.
Особое внимание следует уделять любому сайту, который просит пользователей открыть редактор скриптов или выполнить незнакомый скрипт.
Эти тактики становятся одним из основных механизмов доставки для Reaper, семейства вредоносных программ, которое все больше нацеливается на инвесторов в криптовалюту, использующих устройства Apple.
#Apple , #CyberSecurity , #CryptoNews , #HackerAlert , #StaySafe 
Будь на шаг впереди – следи за нашим профилем и будь в курсе всего важного в мире криптовалют.
Отказ от ответственности:
Информация и мнения, представленные в этой статье, предназначены только для информационных и образовательных целей и не должны рассматриваться как финансовый или инвестиционный совет. Ничто на этой странице не является рекомендацией купить или продать какие-либо активы. Инвестиции в криптовалюту по своей природе рискованны и могут привести к финансовым потерям. Всегда проводите собственное исследование перед принятием инвестиционных решений.