- дата публікації
Користувачі macOS втрачають криптовалюту, оскільки Reaper-крадій обминає Терминал
- джерело
- сайт
- www.cryptopolitan.com
- відкрити джерело
Новий вид шкідливого програмного забезпечення для Mac, що отримав назву Reaper, поширюється через фальшиві сторінки завантаження додатків на кшталт WeChat та Miro.
Після зараження він краде дані криптовалютних гаманців та збережені паролі браузера. Ця версія є вдосконаленою і маневреною, оскільки обходить нещодавно виправлену вразливість у macOS, використовуючи інший вбудований інструмент Apple – Script Editor, замість Терминалу. Зловмисники активують Script Editor через адреси AppleScript, приховуючи шкідливий код за допомогою ASCII-арту та пробілів.
Якщо користувач натискає кнопку відтворення в Script Editor, він незнання активує приховані команди. Атака починається з фальшивих доменів, які виглядають законними, а також через підроблені оновлення безпеки Apple, які вимагають введення пароля комп'ютера.
Reaper перевіряє розкладку клавіатури, і якщо вона російська, шкідливе ПЗ зупиняється; в іншому випадку – активується. Reaper націлений на desktop-додатки для криптовалют, модифікуючи їх код для перехоплювання транзакцій.
Шкідливе ПО також витягує збережені дані з браузерів Chrome, Firefox та Edge, а також з розширень 1Password і MetaMask. Файли з розширеннями .docx, .pdf, .xlsx, .wallet та .keys, розміщені у папках Desktop і Documents, стискаються в ZIP-архіви та завантажуються на зовнішні сервери управління.
Для забезпечення стійкості атаки Reaper встановлює бекдор, замаскований під каталог оновлень Google. Reaper є третім випадком за приблизно два місяці, коли було використано цей автоматизований підхід AppleScript.
Команда досліджень безпеки Microsoft також зафіксувала попередні кампанії, що використовували подібні методи через фальшиві посібники з усунення неполадок macOS. Рекомендується перевіряти посилання перед встановленням нових програм.
Якщо з’явиться спливаюче вікно, що запитує пароль Mac, не вводьте його.
Якісний інструмент безпеки допоможе виявити замасковані скрипти до того, як вони завдадуть шкоди.
Якщо вебсайт пропонує відкрити Script Editor, слід закрити вкладку.