Malware para macOS Reaper sequestra editores de scripts e rouba dados da Ledger e da Trezor

Um novo malware para macOS chamado Reaper se propaga por meio de páginas falsas de download que imitam o WeChat e o Miro, acionando o editor de scripts embutido no sistema para ocultar o código malicioso. O Reaper tem como alvo carteiras cripto de desktop como Ledger Live, Trezor Suite e Exodus, modificando o código interno das carteiras para interceptar transações futuras e redirecionar os fundos.

Mecanismo de ataque do Reaper: o editor de scripts substitui o terminal

O diferencial técnico do Reaper é usar o editor de scripts pré-instalado no sistema, e não o terminal (atualizações recentes do macOS da Apple já corrigiram vulnerabilidades relacionadas ao terminal). Fluxo do ataque: sites de download falsos acionam o editor de scripts via URLs AppleScript, como applescript://; o código malicioso fica oculto usando caracteres ASCII e espaços; após o usuário clicar no botão de reprodução, a execução ocorre automaticamente; em seguida, surge um diálogo falsificado de atualização de segurança da Apple, solicitando a inserção da senha do computador.

Antes de roubar, o Reaper faz uma checagem do layout do teclado do sistema — se estiver configurado para russo, o malware interrompe a operação; caso contrário, inicia o módulo de roubo de dados que imita o Atomic macOS Stealer (AMOS). Pesquisadores de segurança encontraram, na infraestrutura, um domínio semelhante ao da Microsoft com erro de grafia (mlcrosoft[.]co[.]com).

Alvos do ataque e abrangência do vazamento de dados

O escopo de alvos do ataque confirmado pelo Reaper inclui:

Carteiras cripto de desktop: Ledger Live, Trezor Suite, Exodus (modificação de código interno para interceptar transações)

Credenciais de navegador: senhas armazenadas no Chrome, Firefox e Edge; extensões de navegador como 1Password e MetaMask

Tipos de arquivo: .docx, .pdf, .xlsx, .wallet, .keys em pastas de área de trabalho e documentos (compactados em blocos ZIP de 70MB e enviados para um servidor externo de comando e controle)

Mecanismos de persistência: backdoor disfarçado como diretório de atualização de um software do Google

Perguntas frequentes

Qual é o caminho de infecção do malware Reaper?

De acordo com relatórios da Cryptopolitan e da Moonlock, o Reaper se propaga por meio de páginas falsas de download que imitam o WeChat e o Miro; o site aciona automaticamente o editor de scripts do sistema via URL AppleScript, carregando o código malicioso oculto; depois que o usuário clica no botão de reprodução do editor de scripts, o ataque é executado e, em seguida, o diálogo falsificado de atualização de segurança da Apple induz a vítima a inserir a senha do computador.

Como o Reaper modifica carteiras cripto?

O Reaper ataca aplicações de carteiras cripto de desktop como Ledger Live, Trezor Suite e Exodus, modificando o código de seus programas para que transações futuras de criptomoedas sejam interceptadas e redirecionadas, sem conhecimento do usuário, para endereços controlados pelo atacante.

Como usuários de macOS podem se proteger do Reaper?

Especialistas em segurança recomendam: verificar a origem do link de download antes de instalar qualquer novo programa; não inserir a senha do computador em janelas inesperadamente abertas; se um site sugerir abrir o editor de scripts, feche imediatamente essa guia; usar ferramentas de segurança que consigam interceptar scripts ofuscados.