Uma nova variante do software malicioso SHub, agora conhecida como Reaper, está a assombrar os utilizadores de computadores Mac. De acordo com um relatório publicado pela SentinelOne, esta ameaça recorre a atualizações de segurança falsas para se infiltrar no sistema, instalar uma porta traseira e roubar informações sensíveis, que vão desde os dados do navegador até aos conteúdos de carteiras de criptomoedas.
Ao contrário das campanhas anteriores que dependiam de truques para levar o utilizador a colar comandos no Terminal, o Reaper aposta numa abordagem diferente baseada no esquema de URL do AppleScript. Este método contorna eficazmente os bloqueios introduzidos pela Apple na atualização macOS Tahoe 26.4, que impediam a execução de comandos colados de forma suspeita.
A infeção começa frequentemente com instaladores falsificados de aplicações populares, como o WeChat ou a plataforma Miro, alojados em domínios fraudulentos desenhados para enganar os mais desatentos. Curiosamente, o malware analisa primeiro o sistema e, caso detete que o utilizador possui um teclado ou método de introdução russo, interrompe imediatamente o ataque.
Acesso profundo aos navegadores e palavras-passe
Quando a vítima executa o instalador, surge uma janela que imita um alerta legítimo do sistema. Ao introduzir a palavra-passe do administrador, o utilizador entrega as chaves de casa ao atacante. A partir desse momento, o Reaper extrai dados vitais de quase todos os grandes navegadores do mercado, incluindo o Chrome, o Firefox e o Edge da Microsoft.
Além do histórico e dos cookies, o ataque visa as extensões de gestores de palavras-passe, como o 1Password e o Bitwarden, e os dados guardados na conta iCloud. A informação de sessões do Telegram e ficheiros de configuração associados a programadores também são rapidamente desviados para um servidor controlado remotamente pelos cibercriminosos.
O sequestro de ficheiros e carteiras virtuais
O perigo não se fica apenas pelo que acontece nos navegadores. A ameaça inclui um módulo concebido para varrer as pastas do ambiente de trabalho e dos documentos à procura de ficheiros com informações financeiras, recolhendo documentos até dois megabytes e imagens até seis megabytes.
Para os detentores de criptomoedas, o cenário é ainda mais crítico. O Reaper consegue encerrar aplicações legítimas de carteiras locais, como a Exodus ou a Ledger Live, e substitui ficheiros centrais por uma versão maliciosa chamada app.asar. Para evitar que o sistema de segurança Gatekeeper soe o alarme, o código limpa os atributos de quarentena.
Para garantir que não perde o controlo da máquina, a ameaça instala ainda um guião oculto que se faz passar por uma simples atualização de software da Google. A partir daí, o computador passa a comunicar de minuto a minuto com o servidor do atacante, permitindo a execução de novos comandos e abrindo a porta para que os piratas informáticos instalem mais código malicioso no futuro, estabelecendo um controlo remoto total.
Nenhum comentário
Seja o primeiro!