Reaper malvare na macOS-u koristi lažnu Google nadogradnju za skriveni pristup
Reaper malver napada macOS korisnike lažnom Google nadogradnjom za trajni pristup i prikupljanje osetljivih podataka.
Šta se desilo?
Novi variant infostealer malvera poznatog kao Reaper aktivno napada macOS korisnike koristeći sofisticirane tehnike maskiranja. Malver se predstavlja kao legitimna Google Software Update i koristi lazne instalere popularne aplikacije za održavanje permanentnog pristupa zaraženim računarima.
Koga pogađa?
macOS korisnici koji posetavaju sumnjive vebsajtove ili preuzimaju aplikacije van zvaničnih izvora. Narocito su rizični korisnici koji biraju aplikacije kao što su WeChat i Miro preko tipokvadratnih domenskih adresa. Malver ciljano izbegava računare u regionima zajednice nezavisnih država, što sugeriše fokus na druge geografske regije.
Kako se zaštititi?
- Preuzimajte aplikacije iskljucivo sa Mac App Store-a ili zvanicnih vebsajtova razvojnih timova
- Nikad ne izvršavajte skriptove koje nude vebsajtovi tvrdeći da je obavezna bezbednosna nadogradnja potrebna
- Proverite URL adresu pre nego sto kliknete na linkove - obratite paznju na male greške u domenskim imenima
- Pazite na neocekirane AppleScript aktivnosti i Script Editor koji se pokreće bez vase akcije
- Redovno pregledajte LaunchAgents direktorijum u ~/Library/LaunchAgents/ za sumnjive stavke
- Koristite sertifikovan anti-malver softver sa mogucnostima detektovanja macOS specificnih pretnji
Tehnički detalji
Reaper koristi AppleScript zaobilazak standardnih Apple zaštitnih mehanizama izvršavajući naredbe kroz Script Editor umesto direktno iz terminala. Malver dinamicki gradi naredbe sa base64-kodirane zastore da bi se sakrio od vizuelne inspekcije. Kao perzistenicni mehanizam, postavlja bash skriptu u ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/ i registruje LaunchAgent sa plist fajlom com.google.keystone.agent.plist. Ovo omoguca izvršavanje svakih 60 sekundi u pozadini. Reaper prikuplja datoteke sa Desktop-a i Documents foldera, posebno ciljajuc fajlove sa ekstenzijama .docx, .wallet, .key, .json i .rdp, kao i kripto novčanike (Exodus, Atomic, Ledger Live, Trezor Suite). Prikupljene podatke deli na delove od 10MB i šalje na C2 server preko curl komande. IOC indikatori: mlcrosoft[.]co[.]com (tipokvadratna Microsoft domena), hebsbsbzjsjshduxbs[.]xyz (C2 server), ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate (skripta za perzistenciju), ~/Library/LaunchAgents/com.google.keystone.agent.plist (maliciozni LaunchAgent).
Preporuka Sajber Radara
Korisnici macOS sistema treba da budu izuzetno oprezni pri preuzimanju softvera i da ne izvršavaju skriptove iz nepouzdanih izvora. Ovaj malver predstavlja ozbiljnu pretnju jer koristi prepoznate brendove za maskiranje i implementira visestruke slojeve zaštite od detektovanja.
