ينشر برنامج خبيث جديد لنظام macOS يُسمّى Reaper نفسه عبر صفحات تنزيل مزيفة تحاكي تطبيق WeChat وMiro، وذلك من خلال تشغيل محرّر النصوص البرمجية المدمج في النظام لإخفاء الشيفرة الخبيثة. يستهدف Reaper محافظ العملات المشفّرة لسطح المكتب مثل Ledger Live وTrezor Suite وExodus، عبر تعديل الشيفرة داخل المحافظ لإيقاف المعاملات المستقبلية وإعادة توجيه الأموال.
آلية هجوم Reaper: محرّر النصوص البرمجية بدلًا من الطرفية
تتمثل السمات التقنية لـ Reaper في الاستفادة من محرّر النصوص البرمجية المثبّت مسبقًا في النظام، وليس الطرفية (وقد قامت تحديثات Apple الأخيرة لنظام macOS بإصلاح الثغرات المرتبطة بالطرفية). مسار الهجوم: يقوم موقع تنزيل مزيف بتشغيل محرّر النصوص البرمجية عبر عنوان URL من نوع AppleScript applescript://؛ ويَخفي الشيفرة الخبيثة باستخدام أحرف ASCII والمسافات؛ ثم يؤدي الضغط على زر التشغيل من المستخدم إلى تنفيذها تلقائيًا؛ وبعد ذلك، تظهر فورًا نافذة حوار لتحديثات أمان مزيفة من Apple تطلب إدخال كلمة مرور الكمبيوتر.
يقوم Reaper قبل السرقة بفحص تخطيط لوحة مفاتيح النظام — فإذا كانت الإعدادات مهيأة للغة الروسية يتوقف عمل البرمجية الخبيثة؛ وإلا فإنه يبدأ وحدة سرقة البيانات التي تُحاكي Atomic macOS Stealer (AMOS). عثر باحثون أمنيون على نطاقات متناهية الصياغة شبيهة بمجال Microsoft الوهمي ضمن البنية التحتية (mlcrosoft[.]co[.]com).
أهداف الهجوم ونطاق تسرب البيانات
يؤكد Reaper نطاق أهداف الهجوم التالي:
محافظ العملات المشفّرة لسطح المكتب: Ledger Live وTrezor Suite وExodus (تعديل الشيفرة الداخلية لاعتراض المعاملات)
بيانات الاعتماد الخاصة بالمتصفح: كلمات المرور المخزنة في Chrome وFirefox وEdge؛ وإضافات المتصفحات مثل 1Password وMetaMask
أنواع الملفات: .docx و.pdf و.xlsx و.wallet و.keys الموجودة في سطح المكتب ومجلدات الملفات (يتم ضغطها إلى كتل ZIP بحجم 70MB وتحميلها إلى خادم قيادة وتحكم خارجي)
آلية الاستمرارية: تثبيت باب خلفي يتنكر كدليل تحديثات برمجية تابع لـ Google
الأسئلة الشائعة
ما مسار إصابة برنامج Reaper الخبيث؟
وفقًا لتقرير Cryptopolitan وMoonlock، ينتشر Reaper عبر صفحات تنزيل مزيفة تحاكي WeChat وMiro، ويقوم الموقع بتشغيل محرّر النصوص البرمجية في النظام تلقائيًا عبر عنوان URL من نوع AppleScript، حيث يتم تحميل الشيفرة الخبيثة المخفية داخله مسبقًا؛ بعد أن ينقر المستخدم زر التشغيل في محرّر النصوص البرمجية يتم تنفيذ الهجوم، ثم تقوم نافذة حوار لتحديثات أمان مزيفة من Apple بإغراء الضحية لإدخال كلمة مرور الكمبيوتر.
كيف يعدّل Reaper محافظ العملات المشفّرة؟
يستهدف Reaper تطبيقات محافظ العملات المشفّرة لسطح المكتب مثل Ledger Live وTrezor Suite وExodus، ويقوم بتعديل الشيفرة البرمجية الداخلية لها بحيث يتم اعتراض معاملات العملات المشفّرة المستقبلية دون علم الضحية وإعادة توجيهها إلى عنوان يخضع لسيطرة المهاجم.
كيف يمكن لمستخدمي macOS الحماية من Reaper؟
يوصي الخبراء الأمنيون بما يلي: التحقق من مصدر رابط التنزيل قبل تثبيت أي برنامج جديد؛ عدم إدخال كلمة مرور الكمبيوتر في أي نافذة تظهر بالخطأ؛ في حال طلب الموقع فتح محرّر النصوص البرمجية، أغلق فورًا صفحة التبويب تلك؛ واستخدام أدوات أمان قادرة على اعتراض النصوص البرمجية المشفّرة/المموهة.
