Phần mềm độc hại Reaper trên macOS chiếm quyền trình soạn thảo script, đánh cắp dữ liệu Ledger và Trezor

Một loại mã độc macOS mới có tên Reaper lây lan bằng các trang tải xuống giả mạo về WeChat và Miro, đánh lừa người dùng kích hoạt trình soạn thảo script tích hợp sẵn trong hệ thống và ẩn mã độc. Reaper nhắm vào các ví tiền mã hóa trên máy tính như Ledger Live, Trezor Suite và Exodus, sửa mã bên trong ví để chặn các giao dịch trong tương lai và chuyển hướng tiền về địa chỉ do kẻ tấn công kiểm soát.

Cơ chế tấn công của Reaper: trình soạn thảo script thay thế terminal

Điểm kỹ thuật của Reaper là tận dụng trình soạn thảo script được cài sẵn trong hệ thống thay vì terminal (các bản cập nhật macOS gần đây của Apple đã vá lỗ hổng liên quan đến terminal). Quy trình tấn công: trang web tải xuống giả mạo dùng URL applescript:// để kích hoạt trình soạn thảo script; mã độc được ẩn bằng các ký tự ASCII và khoảng trắng; sau khi người dùng bấm nút phát, mã độc sẽ tự động thực thi; ngay sau đó xuất hiện hộp thoại cập nhật bảo mật giả mạo của Apple, yêu cầu nhập mật khẩu máy tính.

Trước khi trộm cắp, Reaper kiểm tra cách bố trí bàn phím hệ thống — nếu được cấu hình là tiếng Nga thì mã độc sẽ ngừng hoạt động; nếu không, nó sẽ khởi động mô-đun đánh cắp dữ liệu, mô phỏng Atomic macOS Stealer (AMOS). Các nhà nghiên cứu an ninh phát hiện trong hạ tầng có tên miền giả mạo trông như kiểu Microsoft, nhưng bị sai chính tả (mlcrosoft[.]co[.]com).

Mục tiêu tấn công và phạm vi rò rỉ dữ liệu

Phạm vi mục tiêu tấn công mà Reaper xác nhận gồm:

Ví tiền mã hóa trên máy tính: Ledger Live, Trezor Suite, Exodus (sửa mã nội bộ để chặn giao dịch)

Thông tin xác thực trình duyệt: mật khẩu được lưu trong Chrome, Firefox, Edge; các tiện ích mở rộng trình duyệt như 1Password và MetaMask

Loại tệp: .docx, .pdf, .xlsx, .wallet, .keys trong thư mục tài liệu và trên máy tính (nén thành các khối ZIP 70MB và tải lên máy chủ điều khiển từ xa)

Cơ chế duy trì hoạt động: cài đặt một backdoor được ngụy trang thành thư mục cập nhật phần mềm của Google

Các câu hỏi thường gặp

Đường lây nhiễm của mã độc Reaper là gì?

Theo các báo cáo của Cryptopolitan và Moonlock, Reaper lây lan bằng cách giả mạo các trang tải xuống cho WeChat và Miro; trang web dùng AppleScript URL để tự động kích hoạt trình soạn thảo script của hệ thống, nhúng mã độc ẩn vào đó trước; khi người dùng bấm nút phát trong trình soạn thảo script để thực thi cuộc tấn công, sau đó hộp thoại cập nhật bảo mật giả mạo của Apple sẽ lừa nạn nhân nhập mật khẩu máy tính.

Reaper sửa đổi ví tiền mã hóa như thế nào?

Reaper nhắm vào các ứng dụng ví tiền mã hóa trên máy tính như Ledger Live, Trezor Suite và Exodus, sửa mã chương trình bên trong để các giao dịch tiền mã hóa trong tương lai bị chặn mà nạn nhân không hề hay biết và được chuyển hướng tới địa chỉ do kẻ tấn công kiểm soát.

Người dùng macOS làm sao để phòng tránh Reaper?

Các chuyên gia an ninh khuyến nghị: trước khi cài đặt bất kỳ chương trình mới nào, hãy kiểm tra kỹ nguồn liên kết tải xuống; trong các cửa sổ bất ngờ bật lên, không nhập mật khẩu máy tính; nếu trang web nhắc bật trình soạn thảo script thì hãy tắt ngay tab đó; sử dụng các công cụ bảo mật có thể chặn các script bị làm rối.