17.3 C
Brasília
domingo, junho 7, 2026
type here...

Vírus Reaper mira usuários de Mac com páginas falsas de WeChat e Miro

Tecnologia
Atualizado:
Cecilia Ferraz
Por Cecilia Ferraz
- Advertisement -spot_imgspot_img
- Advertisement -spot_imgspot_img

Pesquisadores das empresas SentinelOne e Moonlock identificaram uma campanha maliciosa direcionada a usuários de Mac em que criminosos distribuem uma versão atualizada do malware SHub Stealer, batizada de Reaper, por meio de páginas falsas que imitam aplicativos populares como WeChat e Miro. O ataque usa uma técnica automatizada derivada do ClickFix para induzir a vítima a executar um script malicioso sem perceber.

Esta é a terceira campanha registrada em menos de dois meses que utiliza essa mesma abordagem, o que indica que a técnica está se popularizando entre grupos criminosos que miram o macOS.

smart_display

Nossos vídeos em destaque

Ferramenta nativa do Mac é usada como porta de entrada

Em versões anteriores do ClickFix, os criminosos instruíam a vítima a copiar e colar um comando malicioso no Terminal, o aplicativo de linha de comando do macOS. A Apple respondeu a isso implementando restrições para esse tipo de operação no sistema.

O código malicioso usa arte ASCII para simular a aparência de um instalador legítimo do WeChat. O script real, escondido abaixo da área visível, é executado quando a vítima clica no botão de play do Script Editor. Imagem: Moonlog.

Para contornar a mudança, o Reaper abandonou o Terminal. As páginas falsas usam um formato de link específico, o applescript://, que abre automaticamente o Script Editor, outro aplicativo nativo do macOS usado para criar automações.

O código malicioso fica escondido dentro desse aplicativo. Os criminosos inserem blocos de caracteres decorativos e espaços em branco em excesso para empurrar o script para fora da área visível da tela. A vítima vê apenas uma aparência inofensiva e, ao clicar no botão de execução, acreditando tratar-se de uma atualização do sistema, o código roda.

O Script Editor é um aplicativo legítimo, presente em todas as versões do macOS. Isso faz com que os usuários raramente suspeitem de algo ao vê-lo abrir.

reaper stealer macos (1).png
A documentação oficial da Apple para o Script Editor mostra como executar scripts pelo menu Script. Criminosos exploram o desconhecimento dos usuários sobre essa ferramenta nativa para disfarçar ataques como operações legítimas do sistema. Imagem: Moonlock.

Ataque imita Apple, Google e Microsoft para parecer legítimo

A campanha usa uma sequência de marcas conhecidas para construir confiança em cada etapa. O primeiro contato acontece em sites falsos hospedados em domínios com erros de digitação que imitam endereços da Microsoft, como mlcrosoft.co.com.

Depois que o script é executado, aparece uma mensagem falsa de atualização de segurança da Apple, pedindo que o usuário informe a senha do sistema. Isso é necessário para que o malware consiga acessar arquivos e recursos protegidos.

Após a instalação, o Reaper se esconde em um diretório falso chamado Google Software Update, imitando um serviço legítimo do Google para não levantar suspeitas.

reaper stealer macos (2).png
Trecho do código do Reaper que localiza o aplicativo Exodus no computador da vítima e substitui arquivos internos do programa para desviar criptomoedas em transações futuras. Imagem: Moonlock.

O que o Reaper rouba

Antes de agir, o malware verifica o idioma configurado no teclado do computador. Se o teclado estiver definido para o russo, o programa se encerra automaticamente. Essa é uma prática comum em malwares desenvolvidos por grupos ligados à Rússia, que costumam excluir o país de suas operações.

Caso contrário, o Reaper começa a coleta de dados. Ele varre as pastas Área de Trabalho e Documentos em busca de arquivos com extensões específicas como .docx, .pdf, .xlsx, .wallet e .keys. Os arquivos encontrados são compactados em pacotes de 70 MB e enviados para um servidor controlado pelos criminosos.

O malware também acessa dados salvos em navegadores como Chrome, Firefox e Edge, incluindo senhas e extensões de gerenciamento de senhas e carteiras de criptomoedas, como 1Password e MetaMask.

reaper stealer macos (3).png
Ferramentas de segurança com proteção em tempo real conseguem identificar scripts maliciosos antes da execução, inclusive os que são carregados via Script Editor. Imagem: Moonlock.

Para carteiras de criptomoedas instaladas como aplicativos no computador, como Ledger Live, Trezor Suite e Exodus, o Reaper adota uma abordagem diferente. Ele não substitui o aplicativo por uma versão falsa. O que o malware faz é modificar o código interno do aplicativo legítimo para desviar fundos em transações futuras.

Por fim, o Reaper instala uma porta dos fundos permanente no sistema, disfarçada como um serviço do Google, para garantir acesso remoto ao computador mesmo depois que a sessão de ataque terminar.

Como se proteger

Os pesquisadores recomendam verificar sempre o endereço dos sites antes de baixar qualquer programa. Sites com erros de digitação no domínio, como letras trocadas ou domínios incomuns, são um sinal de alerta.

reaper stealer macos (4).png
 Script Editor é um aplicativo nativo presente em todas as versões do macOS. Por ser uma ferramenta oficial da Apple, dificilmente levanta suspeitas quando abre durante o que parece ser a instalação de um programa. Imagem: Moonlock.

Nunca informe a senha do sistema em janelas pop-up que apareçam durante ou após a instalação de um software. Instalações legítimas não pedem a senha do Mac dessa forma.

Se o Script Editor abrir sozinho no seu computador com um código carregado, não clique no botão de execução sem ter certeza absoluta do que aquele código faz. O uso de um antivírus atualizado também ajuda a identificar scripts maliciosos antes que sejam executados.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

[Fonte Original]

- Advertisement -spot_imgspot_img

Destaques

- Advertisement -spot_img

Últimas Notícias

- Advertisement -spot_img

Centro de Conformidade