Novo vírus para macOS se disfarça de WeChat e Miro para roubar arquivos e criptomoedas

Pesquisadores das empresas SentinelOne e Moonlock identificaram uma campanha maliciosa direcionada a usuários de Mac em que criminosos distribuem uma versão atualizada do malware SHub Stealer, batizada de Reaper, por meio de páginas falsas que imitam aplicativos populares como WeChat e Miro. O ataque usa uma técnica automatizada derivada do ClickFix para induzir a vítima a executar um script malicioso sem perceber.

Esta é a terceira campanha registrada em menos de dois meses que utiliza essa mesma abordagem, o que indica que a técnica está se popularizando entre grupos criminosos que miram o macOS.

Ferramenta nativa do Mac é usada como porta de entrada

Em versões anteriores do ClickFix, os criminosos instruíam a vítima a copiar e colar um comando malicioso no Terminal, o aplicativo de linha de comando do macOS. A Apple respondeu a isso implementando restrições para esse tipo de operação no sistema.

reaper stealer macos.png — O código malicioso usa arte ASCII para simular a aparência de um instalador legítimo do WeChat. O script real, escondido abaixo da área visível, é executado quando a vítima clica no botão de play do Script Editor. Imagem: Moonlog.

Para contornar a mudança, o Reaper abandonou o Terminal. As páginas falsas usam um formato de link específico, o applescript://, que abre automaticamente o Script Editor, outro aplicativo nativo do macOS usado para criar automações.

O código malicioso fica escondido dentro desse aplicativo. Os criminosos inserem blocos de caracteres decorativos e espaços em branco em excesso para empurrar o script para fora da área visível da tela. A vítima vê apenas uma aparência inofensiva e, ao clicar no botão de execução, acreditando tratar-se de uma atualização do sistema, o código roda.

O Script Editor é um aplicativo legítimo, presente em todas as versões do macOS. Isso faz com que os usuários raramente suspeitem de algo ao vê-lo abrir.

reaper stealer macos (1).png — A documentação oficial da Apple para o Script Editor mostra como executar scripts pelo menu Script. Criminosos exploram o desconhecimento dos usuários sobre essa ferramenta nativa para disfarçar ataques como operações legítimas do sistema. Imagem: Moonlock.

Ataque imita Apple, Google e Microsoft para parecer legítimo

A campanha usa uma sequência de marcas conhecidas para construir confiança em cada etapa. O primeiro contato acontece em sites falsos hospedados em domínios com erros de digitação que imitam endereços da Microsoft, como mlcrosoft.co.com.

Depois que o script é executado, aparece uma mensagem falsa de atualização de segurança da Apple, pedindo que o usuário informe a senha do sistema. Isso é necessário para que o malware consiga acessar arquivos e recursos protegidos.

Após a instalação, o Reaper se esconde em um diretório falso chamado Google Software Update, imitando um serviço legítimo do Google para não levantar suspeitas.

reaper stealer macos (2).png — Trecho do código do Reaper que localiza o aplicativo Exodus no computador da vítima e substitui arquivos internos do programa para desviar criptomoedas em transações futuras. Imagem: Moonlock.

O que o Reaper rouba

Antes de agir, o malware verifica o idioma configurado no teclado do computador. Se o teclado estiver definido para o russo, o programa se encerra automaticamente. Essa é uma prática comum em malwares desenvolvidos por grupos ligados à Rússia, que costumam excluir o país de suas operações.

Caso contrário, o Reaper começa a coleta de dados. Ele varre as pastas Área de Trabalho e Documentos em busca de arquivos com extensões específicas como .docx, .pdf, .xlsx, .wallet e .keys. Os arquivos encontrados são compactados em pacotes de 70 MB e enviados para um servidor controlado pelos criminosos.

O malware também acessa dados salvos em navegadores como Chrome, Firefox e Edge, incluindo senhas e extensões de gerenciamento de senhas e carteiras de criptomoedas, como 1Password e MetaMask.

reaper stealer macos (3).png — Ferramentas de segurança com proteção em tempo real conseguem identificar scripts maliciosos antes da execução, inclusive os que são carregados via Script Editor. Imagem: Moonlock.

Para carteiras de criptomoedas instaladas como aplicativos no computador, como Ledger Live, Trezor Suite e Exodus, o Reaper adota uma abordagem diferente. Ele não substitui o aplicativo por uma versão falsa. O que o malware faz é modificar o código interno do aplicativo legítimo para desviar fundos em transações futuras.

Por fim, o Reaper instala uma porta dos fundos permanente no sistema, disfarçada como um serviço do Google, para garantir acesso remoto ao computador mesmo depois que a sessão de ataque terminar.

Como se proteger

Os pesquisadores recomendam verificar sempre o endereço dos sites antes de baixar qualquer programa. Sites com erros de digitação no domínio, como letras trocadas ou domínios incomuns, são um sinal de alerta.

reaper stealer macos (4).png — Script Editor é um aplicativo nativo presente em todas as versões do macOS. Por ser uma ferramenta oficial da Apple, dificilmente levanta suspeitas quando abre durante o que parece ser a instalação de um programa. Imagem: Moonlock.

Nunca informe a senha do sistema em janelas pop-up que apareçam durante ou após a instalação de um software. Instalações legítimas não pedem a senha do Mac dessa forma.

Se o Script Editor abrir sozinho no seu computador com um código carregado, não clique no botão de execução sem ter certeza absoluta do que aquele código faz. O uso de um antivírus atualizado também ajuda a identificar scripts maliciosos antes que sejam executados.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.