Експерти компанії SentinelOne виявили новий вірус Reaper, який розповсюджується через фейкове повідомлення про оновлення macOS. Шкідлива програма викрадає дані криптогаманців, браузерів та менеджерів паролів
Вірус для макбуків використовує спеціальне посилання формату applescript://. Після переходу по ній автоматично відкривається вбудована програма для роботи зі скриптами, через яку запускається шкідливий код.
Після запуску коду користувач бачить фальшиве повідомлення про оновлення системи та запит на введення пароля macOS. Отримавши необхідні дозволи, вірус починає отримувати дані з браузерів та криптогаманців, включаючи MetaMask, Phantom, Exodus, Atomic Wallet, Ledger Live, Electrum та Trezor Suite.
До складу Reaper входить модуль пошуку документів на комп'ютері жертви. Модуль сканує робочий стіл та папку «Документи», вибираючи файли, які можуть містити конфіденційну інформацію. Загальний обсяг даних, що збираються, може досягати 150 МБ, уточнили фахівці з безпеки.
Експерти SentinelOne вважають, що вірус здатний закріплюватися в системі, маскуючись під оновлення сервісів Google. За оцінкою аналітиків, розробники Reaper продовжують удосконалювати програму, розширюючи її можливості зі збирання даних та віддаленого доступу до заражених комп'ютерів.
Раніше аналітики компанії CrowdStrike, що працює в сфері кібербезпеки, повідомили, що шкідлива програма Shamos, розроблена угрупованням COOKIE SPIDER, викрадає дані криптогаманців з пристроїв на macOS.