Le logiciel malveillant Reaper sur macOS détourne l’éditeur de scripts et vole des données de Ledger et Trezor

Un nouveau malware macOS nommé Reaper se propage via de fausses pages de téléchargement imitant WeChat et Miro, déclenchant l’éditeur de scripts intégré au système et dissimulant le code malveillant. Reaper cible des portefeuilles de cryptomonnaies pour bureau comme Ledger Live, Trezor Suite et Exodus : il modifie le code interne des portefeuilles afin d’intercepter des transactions futures et de rediriger des fonds.

Le mécanisme d’attaque de Reaper : l’éditeur de scripts à la place du terminal

Les caractéristiques techniques de Reaper reposent sur l’utilisation de l’éditeur de scripts préinstallé sur le système, plutôt que du terminal (les mises à jour récentes de macOS d’Apple ont corrigé des vulnérabilités liées au terminal). Processus d’attaque : le site de téléchargement frauduleux déclenche l’éditeur de scripts via une URL AppleScript applescript:// ; le code malveillant est dissimulé à l’aide de caractères ASCII et d’espaces ; après que l’utilisateur clique sur le bouton de lecture, l’exécution démarre automatiquement ; une boîte de dialogue frauduleuse de mise à jour de sécurité d’Apple s’affiche alors immédiatement, demandant la saisie du mot de passe de l’ordinateur.

Avant de voler des données, Reaper vérifie la disposition du clavier système : si la configuration est en russe, le logiciel malveillant s’arrête ; sinon, il lance un module d’exfiltration de données imitant Atomic macOS Stealer (AMOS). Des chercheurs en sécurité ont découvert, au sein de l’infrastructure, un domaine de type “à la manière de Microsoft” avec une faute d’orthographe (mlcrosoft[.]co[.]com).

Cibles de l’attaque et portée de la fuite de données

Reaper confirme la portée des objectifs d’attaque :

Portefeuilles de cryptomonnaies pour bureau : Ledger Live, Trezor Suite, Exodus (modification du code interne pour intercepter les transactions)

Identifiants de navigateur : mots de passe stockés dans Chrome, Firefox, Edge ; extensions de navigateur comme 1Password et MetaMask

Types de fichiers : .docx, .pdf, .xlsx, .wallet, .keys dans les dossiers de bureau et de documents (compressés en blocs ZIP de 70MB et téléversés vers un serveur externe de commande et de contrôle)

Mécanisme de persistance : installation d’une porte dérobée déguisée en répertoire de mise à jour Google

Questions fréquentes

Quel est le chemin d’infection du malware Reaper ?

D’après les rapports de Cryptopolitan et Moonlock, Reaper se propage en se faisant passer pour des pages de téléchargement frauduleuses imitant WeChat et Miro ; le site déclenche automatiquement l’éditeur de scripts du système via une URL AppleScript, préchargeant le code malveillant dissimulé ; après que l’utilisateur clique sur le bouton de lecture de l’éditeur de scripts, l’attaque est exécutée, puis une boîte de dialogue frauduleuse de mise à jour de sécurité d’Apple incite la victime à saisir le mot de passe de l’ordinateur.

Comment Reaper modifie-t-il les portefeuilles de cryptomonnaies ?

Reaper cible des applications de portefeuilles de cryptomonnaies pour bureau telles que Ledger Live, Trezor Suite et Exodus, en modifiant leur code de programme interne afin que des transactions de cryptomonnaies futures soient interceptées et redirigées vers des adresses contrôlées par l’attaquant, sans que la victime le sache.

Comment les utilisateurs de macOS peuvent se protéger contre Reaper ?

Les experts en sécurité recommandent : vérifier la source du lien de téléchargement avant d’installer tout nouveau programme ; ne pas saisir le mot de passe de l’ordinateur dans une fenêtre qui s’affiche de manière inattendue ; si un site demande d’activer l’éditeur de scripts, fermer immédiatement l’onglet ; utiliser des outils de sécurité capables d’intercepter des scripts obscurcis.