Pesquisadores das empresas SentinelOne e Moonlock identificaram uma nova campanha maliciosa voltada para usuários de Mac que utiliza uma versão atualizada do malware SHub Stealer, agora chamada Reaper. O ataque distribui o código malicioso por meio de páginas falsas que imitam aplicativos populares, como WeChat e Miro, explorando recursos legítimos do próprio macOS para enganar as vítimas.
Segundo os especialistas, esta é a terceira campanha registrada em menos de dois meses utilizando uma técnica derivada do ClickFix, indicando que esse método está ganhando popularidade entre grupos criminosos especializados em ataques contra sistemas da Apple.
Script Editor do macOS vira ferramenta de ataque
As versões anteriores do ClickFix dependiam de instruções que levavam a vítima a copiar e colar comandos maliciosos diretamente no Terminal do macOS. Para dificultar esse tipo de golpe, a Apple implementou restrições que reduziram a eficácia da técnica.
Como resposta, os criminosos passaram a utilizar outro recurso nativo do sistema: o Script Editor. Através de links especiais utilizando o protocolo “applescript://”, os sites fraudulentos conseguem abrir automaticamente o aplicativo no computador da vítima.
O código malicioso já é carregado dentro do Script Editor, mas permanece oculto. Os invasores utilizam grandes blocos de espaços em branco e caracteres decorativos para empurrar o conteúdo perigoso para fora da área visível da janela.
Dessa forma, o usuário visualiza apenas um script aparentemente inofensivo e, ao clicar no botão de execução, acaba iniciando o malware sem perceber.
Campanha utiliza marcas conhecidas para aumentar a credibilidade
Os criminosos exploram a confiança dos usuários em grandes empresas de tecnologia durante todo o processo de infecção.
O primeiro contato ocorre em sites falsos hospedados em domínios que imitam empresas conhecidas, como a Microsoft. Em alguns casos, os pesquisadores identificaram endereços com erros sutis de digitação, como “mlcrosoft.co.com”, que podem passar despercebidos por usuários menos atentos.
Após a execução do script, uma falsa mensagem de segurança da Apple é exibida, informando a necessidade de uma atualização crítica do sistema. Nesse momento, a vítima é induzida a fornecer sua senha de administrador.
Depois da instalação, o malware se esconde em um diretório chamado “Google Software Update”, simulando um componente legítimo do Google para evitar suspeitas.
O que o malware Reaper consegue roubar
Antes de iniciar suas atividades, o Reaper verifica o idioma configurado no teclado do computador. Caso identifique o idioma russo, o malware encerra sua execução automaticamente, comportamento frequentemente observado em códigos desenvolvidos por grupos criminosos ligados à Rússia.
Nos demais casos, o malware inicia uma ampla coleta de informações.
Entre os principais alvos estão:
- Documentos armazenados nas pastas Área de Trabalho e Documentos;
- Arquivos PDF, Word, Excel e apresentações;
- Carteiras digitais e arquivos relacionados a criptomoedas;
- Senhas armazenadas em navegadores;
- Dados de extensões de gerenciamento de senhas;
- Tokens de autenticação e sessões ativas.
Os arquivos roubados são compactados em blocos de aproximadamente 70 MB e enviados para servidores controlados pelos invasores.
Carteiras de criptomoedas recebem tratamento especial
Uma das características mais preocupantes do Reaper é sua capacidade de manipular aplicativos legítimos de criptomoedas instalados no computador.
Em vez de substituir os programas por versões falsas, o malware altera componentes internos de aplicativos populares, incluindo:
- Ledger Live;
- Trezor Suite;
- Exodus.
Essa modificação permite que futuras transações sejam redirecionadas para endereços controlados pelos criminosos, mesmo que o usuário continue utilizando o aplicativo original sem perceber qualquer alteração.
Persistência garante acesso contínuo ao computador
Além do roubo de dados, o Reaper instala uma porta dos fundos permanente no sistema.
Esse mecanismo fica disfarçado como um serviço legítimo do Google e garante que os invasores mantenham acesso remoto ao dispositivo mesmo após o encerramento da sessão inicial de ataque.
Na prática, isso permite novas ações maliciosas no futuro, incluindo espionagem, instalação de outros malwares e roubo contínuo de informações.
Como se proteger desse tipo de ameaça
Os pesquisadores recomendam atenção redobrada ao baixar aplicativos da internet.
Entre as principais medidas de proteção estão:
- Verificar cuidadosamente o endereço dos sites antes de realizar downloads;
- Desconfiar de domínios com erros de digitação ou extensões incomuns;
- Evitar informar a senha do sistema em janelas inesperadas;
- Não executar scripts desconhecidos no Script Editor;
- Manter soluções de segurança atualizadas;
- Baixar aplicativos apenas de fontes oficiais.
Especialistas alertam que o uso de ferramentas legítimas do próprio sistema operacional torna esse tipo de ataque particularmente perigoso, já que muitos usuários tendem a confiar automaticamente em aplicativos nativos do macOS.
O crescimento das campanhas baseadas em ClickFix demonstra uma mudança importante no cenário de ameaças digitais, onde a engenharia social continua sendo uma das armas mais eficazes utilizadas por criminosos para comprometer dispositivos e roubar informações sensíveis.
