){kind=link}
Pesquisadores das empresas SentinelOne e Moonlock identificaram uma campanha maliciosa direcionada a usuários de Mac em que criminosos distribuem uma versão atualizada do malware SHub Stealer, batizada de Reaper, por meio de páginas falsas que imitam aplicativos populares como WeChat e Miro. O ataque usa uma técnica automatizada derivada do ClickFix para induzir a vítima a executar um script malicioso sem perceber.
Esta é a terceira campanha registrada em menos de dois meses que utiliza essa mesma abordagem, o que indica que a técnica está se popularizando entre grupos criminosos que miram o macOS.
smart_display
Nossos vídeos em destaque
Ferramenta nativa do Mac é usada como porta de entrada
Em versões anteriores do ClickFix, os criminosos instruíam a vítima a copiar e colar um comando malicioso no Terminal, o aplicativo de linha de comando do macOS. A Apple respondeu a isso implementando restrições para esse tipo de operação no sistema.
Para contornar a mudança, o Reaper abandonou o Terminal. As páginas falsas usam um formato de link específico, o applescript://, que abre automaticamente o Script Editor, outro aplicativo nativo do macOS usado para criar automações.
O código malicioso fica escondido dentro desse aplicativo. Os criminosos inserem blocos de caracteres decorativos e espaços em branco em excesso para empurrar o script para fora da área visível da tela. A vítima vê apenas uma aparência inofensiva e, ao clicar no botão de execução, acreditando tratar-se de uma atualização do sistema, o código roda.
O Script Editor é um aplicativo legítimo, presente em todas as versões do macOS. Isso faz com que os usuários raramente suspeitem de algo ao vê-lo abrir.
)
Ataque imita Apple, Google e Microsoft para parecer legítimo
A campanha usa uma sequência de marcas conhecidas para construir confiança em cada etapa. O primeiro contato acontece em sites falsos hospedados em domínios com erros de digitação que imitam endereços da Microsoft, como mlcrosoft.co.com.
Depois que o script é executado, aparece uma mensagem falsa de atualização de segurança da Apple, pedindo que o usuário informe a senha do sistema. Isso é necessário para que o malware consiga acessar arquivos e recursos protegidos.
Após a instalação, o Reaper se esconde em um diretório falso chamado Google Software Update, imitando um serviço legítimo do Google para não levantar suspeitas.
)
O que o Reaper rouba
Antes de agir, o malware verifica o idioma configurado no teclado do computador. Se o teclado estiver definido para o russo, o programa se encerra automaticamente. Essa é uma prática comum em malwares desenvolvidos por grupos ligados à Rússia, que costumam excluir o país de suas operações.
Caso contrário, o Reaper começa a coleta de dados. Ele varre as pastas Área de Trabalho e Documentos em busca de arquivos com extensões específicas como .docx, .pdf, .xlsx, .wallet e .keys. Os arquivos encontrados são compactados em pacotes de 70 MB e enviados para um servidor controlado pelos criminosos.
O malware também acessa dados salvos em navegadores como Chrome, Firefox e Edge, incluindo senhas e extensões de gerenciamento de senhas e carteiras de criptomoedas, como 1Password e MetaMask.
)
Para carteiras de criptomoedas instaladas como aplicativos no computador, como Ledger Live, Trezor Suite e Exodus, o Reaper adota uma abordagem diferente. Ele não substitui o aplicativo por uma versão falsa. O que o malware faz é modificar o código interno do aplicativo legítimo para desviar fundos em transações futuras.
Por fim, o Reaper instala uma porta dos fundos permanente no sistema, disfarçada como um serviço do Google, para garantir acesso remoto ao computador mesmo depois que a sessão de ataque terminar.
Como se proteger
Os pesquisadores recomendam verificar sempre o endereço dos sites antes de baixar qualquer programa. Sites com erros de digitação no domínio, como letras trocadas ou domínios incomuns, são um sinal de alerta.
)
Nunca informe a senha do sistema em janelas pop-up que apareçam durante ou após a instalação de um software. Instalações legítimas não pedem a senha do Mac dessa forma.
Se o Script Editor abrir sozinho no seu computador com um código carregado, não clique no botão de execução sem ter certeza absoluta do que aquele código faz. O uso de um antivírus atualizado também ajuda a identificar scripts maliciosos antes que sejam executados.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.