El malware de macOS Reaper secuestra editores de scripts y roba datos de Ledger y Trezor

Un nuevo malware para macOS llamado Reaper se propaga mediante páginas de descarga falsas que imitan a WeChat y Miro, lo que activa el editor de scripts integrado del sistema y oculta el código malicioso. Reaper se dirige a monederos de criptomonedas de escritorio como Ledger Live, Trezor Suite y Exodus: modifica el código interno del monedero para interceptar transacciones futuras y redirigir los fondos.

Mecanismo de ataque de Reaper: el editor de scripts en lugar de la terminal

Las características técnicas de Reaper consisten en aprovechar el editor de scripts instalado en el sistema, en vez de la terminal (las actualizaciones recientes de macOS de Apple ya han corregido vulnerabilidades relacionadas con la terminal). Flujo del ataque: el sitio web de descargas falsas activa el editor de scripts a través de un URL applescript:// de AppleScript; el código malicioso se oculta con caracteres ASCII y espacios; después de que el usuario haga clic en el botón de reproducir, se ejecuta automáticamente; y de inmediato aparece un diálogo de actualización de seguridad falsa de Apple, que solicita introducir la contraseña del ordenador.

Antes de robar, Reaper comprueba el diseño del teclado del sistema; si está configurado para ruso, el malware se detiene. En caso contrario, inicia un módulo de robo de datos que imita al Stealer de macOS de Atomic (AMOS). Los investigadores de seguridad encontraron un dominio similar a Microsoft con un error tipográfico en la infraestructura (mlcrosoft[.]co[.]com).

Objetivos del ataque y alcance de la filtración de datos

Reaper confirma el alcance de los objetivos del ataque:

Monederos de criptomonedas de escritorio: Ledger Live, Trezor Suite, Exodus (modificar el código interno para interceptar transacciones)

Credenciales del navegador: contraseñas almacenadas en Chrome, Firefox y Edge; extensiones del navegador como 1Password y MetaMask

Tipos de archivos: .docx, .pdf, .xlsx, .wallet, .keys en escritorios y carpetas de documentos (comprimidos en fragmentos ZIP de 70MB y subidos a un servidor externo de mando y control)

Mecanismo de persistencia: instalar una puerta trasera camuflada como directorio de actualizaciones de software de Google

Preguntas frecuentes

¿Cuál es la vía de infección del malware Reaper?

De acuerdo con los informes de Cryptopolitan y Moonlock, Reaper se propaga haciéndose pasar por páginas de descarga falsas de WeChat y Miro; el sitio activa automáticamente el editor de scripts del sistema mediante un URL de AppleScript, cargando de antemano el código malicioso oculto; tras que el usuario hace clic en el botón de reproducir del editor de scripts, se ejecuta el ataque y, posteriormente, un diálogo de actualización de seguridad falsa de Apple induce a la víctima a introducir la contraseña del ordenador.

¿Cómo modifica Reaper los monederos de criptomonedas?

Reaper modifica el código del programa interno de aplicaciones de monederos de criptomonedas de escritorio como Ledger Live, Trezor Suite y Exodus, de modo que las futuras transacciones de criptomonedas sean interceptadas sin conocimiento de la víctima y redirigidas a una dirección controlada por el atacante.

¿Cómo pueden los usuarios de macOS protegerse de Reaper?

Los expertos en seguridad recomiendan: verificar la fuente del enlace de descarga antes de instalar cualquier programa nuevo; no introducir la contraseña del ordenador en ventanas que aparezcan de forma inesperada; si un sitio solicita habilitar el editor de scripts, cerrar inmediatamente esa pestaña; usar herramientas de seguridad que puedan interceptar scripts ofuscados.