Neue Mac-Malware zielt auf Krypto-Nutzer ab. Reaper umgeht Apple-Schutzmaßnahmen und stiehlt Wallet-Daten

Mac-Nutzer sehen sich einer neuen Cybersecurity-Bedrohung gegenüber. Sicherheitsforscher haben eine Malware-Variante namens Reaper identifiziert, die speziell Krypto-Halter ins Visier nimmt und in der Lage ist, einige der integrierten Sicherheitsmaßnahmen von macOS zu umgehen.
Die Malware wird über gefälschte Download-Seiten verbreitet, die beliebte Anwendungen imitieren. Sobald ein Opfer das bösartige Skript ausführt, beginnt Reaper, Zugangsdaten, Daten von Krypto-Wallets und sensible Dokumente, die auf dem Gerät gespeichert sind, zu sammeln.
Angreifer haben einen neuen Weg gefunden, um die macOS-Sicherheit zu umgehenBis vor kurzem verließen sich Cyberkriminelle häufig auf Social-Engineering-Techniken, die Benutzer dazu verleiteten, bösartige Befehle manuell im Terminal auszuführen.
Apple hat viele dieser Angriffsvektoren durch Sicherheitsupdates allmählich geschlossen. Die Schöpfer von Reaper haben jedoch einen neuen Ansatz gefunden.
Anstatt das Terminal auszunutzen, nutzt die Malware den Script-Editor, eine integrierte macOS-Anwendung, die auf jedem Mac vorinstalliert ist. Da die meisten Benutzer selten damit interagieren, erkennen nur wenige die potenziellen Sicherheitsrisiken, die sie darstellen kann.
Bösartige Websites können automatisch den Script-Editor starten und einen scheinbar harmlosen Skript anzeigen. In Wirklichkeit ist der gefährliche Code unter ASCII-Kunst, Leerzeichen und anderen Elementen verborgen, die es normalen Benutzern erschweren, ihn zu erkennen.
Ein einzelner Klick auf die Ausführen-Schaltfläche kann ausreichen, um Angreifern Zugriff auf das System zu geben.
Falsche Websites sind so gestaltet, dass sie legitim aussehenDie Kampagne verlässt sich auf täuschende Domains, die gut bekannten Unternehmen und Softwareplattformen sehr ähnlich sehen.
Sicherheitsforscher haben Websites entdeckt, die Typo-Squatting-Techniken verwenden, die sie auf den ersten Blick vertrauenswürdig erscheinen lassen.
Sobald das Skript gestartet wird, werden die Opfer oft mit einem gefälschten Apple-Sicherheitsupdate-Prompt konfrontiert, das nach ihrem Mac-Passwort fragt.
Dies ist der Moment, in dem Angreifer Zugang zu sensibleren Bereichen des Systems erhalten.
Interessanterweise überprüft die Malware zuerst das Tastaturlayout des Geräts. Wenn sie eine russische Sprachkonfiguration erkennt, wird der Angriff sofort beendet. Dieses Verhalten wird häufig in Malware-Kampagnen beobachtet und könnte Hinweise auf die Herkunft der Betreiber hinter dem Angriff geben.
Krypto-Wallets und Passwort-Manager sind HauptzieleDas Hauptziel der Malware ist es, Anwendungen im Zusammenhang mit Kryptowährungen zu kompromittieren.
Reaper zielt speziell auf beliebte Wallets wie Ledger Live, Trezor Suite und Exodus ab. Laut Forschern kann es interne Wallet-Dateien manipulieren und zukünftige Transaktionen abfangen.
Über Krypto-Wallets hinaus konzentriert sich die Malware auch stark auf Webbrowser.
Sie versucht, gespeicherte Anmeldeinformationen aus Chrome, Firefox und Microsoft Edge zu extrahieren und gleichzeitig Daten aus Browsererweiterungen wie MetaMask und Passwortmanagern wie 1Password zu sammeln.
Kryptowährungs-Assets sind nicht das einzige Ziel.
Reaper stiehlt auch sensible DokumenteSicherheitsanalysen zeigen, dass die Malware aktiv sowohl Desktop- als auch Dokumentenordner nach wertvollen Dateien durchsucht.
Zu den angegriffenen Dateitypen gehören:
Microsoft Word Dokumente (.docx)
PDF-Dateien (.pdf)
Excel-Tabellenkalkulationen (.xlsx)
Wallet-Backup-Dateien (.wallet)
Private Schlüssel und Backup-Dateien (.keys)
Die gesammelten Dateien werden in Archive komprimiert und an entfernte Command-and-Control-Server gesendet, die von den Angreifern betrieben werden.
In einigen Fällen installiert Reaper auch eine versteckte Hintertür, die langfristigen Zugriff auf das Gerät ermöglicht, selbst nach einem Systemneustart.
Falscher WeChat-Code öffnet sich im Script-Editor. Quelle: Moonlock.
Die dritte ähnliche Kampagne innerhalb weniger WochenLaut Cybersicherheitsexperten ist Reaper kein Einzelfall.
Es stellt die dritte große Kampagne innerhalb von etwa zwei Monaten dar, die eine ähnliche AppleScript-basierte Angriffstechnik in Kombination mit Social-Engineering-Taktiken übernommen hat.
Forscher haben die Aktivität auch mit umfassenderen Kampagnen in Verbindung gebracht, die gefälschte Problemlösungsanleitungen und betrügerische technische Supportinhalte umfassen, die auf verschiedenen Webplattformen veröffentlicht wurden. Diese Kampagnen wurden mit anderen bekannten Malware-Familien in Verbindung gebracht, die darauf abzielen, Kryptowährungs-Assets und sensible persönliche Informationen zu stehlen.
Wie können sich Benutzer schützen?Sicherheitsexperten empfehlen extreme Vorsicht beim Herunterladen von Software aus nicht offiziellen Quellen.
Benutzer sollten immer die Website-Adressen überprüfen, bevor sie Anwendungen herunterladen, und äußerst misstrauisch gegenüber unerwarteten Aufforderungen sein, die nach Systempasswörtern fragen.
Besondere Aufmerksamkeit sollte jeder Website geschenkt werden, die Benutzer auffordert, den Script-Editor zu öffnen oder ein unbekanntes Skript auszuführen.
Diese Taktiken werden zu einem der primären Liefermechanismen für Reaper, eine Malware-Familie, die zunehmend Krypto-Investoren, die Apple-Geräte verwenden, ins Visier nimmt.
#Apple , #CyberSecurity , #CryptoNews , #HackerAlert , #StaySafe 
Bleib einen Schritt voraus – folge unserem Profil und bleib informiert über alles Wichtige in der Welt der Kryptowährungen.
Haftungsausschluss:
Die Informationen und Meinungen in diesem Artikel dienen nur zu Informations- und Bildungszwecken und sollten nicht als finanzielle oder Anlageberatung angesehen werden. Nichts auf dieser Seite stellt eine Empfehlung zum Kauf oder Verkauf von Vermögenswerten dar. Investitionen in Kryptowährungen sind von Natur aus riskant und können zu finanziellen Verlusten führen. Mache immer deine eigene Recherche, bevor du Investitionsentscheidungen triffst.