Vírus para macOS se disfarça de WeChat e Miro para roubar arquivos e criptomoedas

A ameaça que chegou ao Mac

Muita gente ainda acredita que computadores da Apple são imunes a vírus. O malware Reaper, identificado pelas empresas de segurança SentinelOne e Moonlock, é mais um exemplo de que essa ideia está cada vez mais distante da realidade.

O Reaper é uma versão atualizada do SHub Stealer e se espalha por meio de páginas falsas que imitam aplicativos conhecidos, como o WeChat e o Miro. Esta já é a terceira campanha que usa essa mesma abordagem em menos de dois meses o que indica que a técnica está se popularizando entre grupos criminosos.

Como o ataque funciona

O golpe começa em sites falsos hospedados em domínios com erros de digitação que imitam endereços da Microsoft. A vítima acessa o site acreditando que vai baixar um aplicativo legítimo.

Em vez de pedir que o usuário cole um comando no Terminal prática que a Apple passou a restringir —, o Reaper usa um formato de link chamado applescript:// para abrir automaticamente o Script Editor, uma ferramenta nativa do macOS usada para criar automações. O código malicioso fica escondido dentro do aplicativo, empurrado para fora da área visível da tela por blocos de caracteres decorativos e espaços em branco.

A vítima vê apenas uma aparência inofensiva e, ao clicar no botão de execução achando que está instalando uma atualização, o código roda. Como o Script Editor é um aplicativo oficial da Apple, presente em todas as versões do macOS, raramente levanta suspeitas.

Depois disso, uma janela falsa pede a senha do sistema supostamente para uma atualização de segurança da Apple. Com a senha em mãos, o malware consegue acessar arquivos e recursos protegidos.

O que o Reaper rouba

Após a instalação, o malware varre as pastas Área de Trabalho e Documentos em busca de arquivos como .docx, .pdf, .xlsx, .wallet e .keys, compacta tudo em pacotes de 70 MB e envia para servidores dos criminosos.

Ele também coleta senhas salvas nos navegadores Chrome, Firefox e Edge, além de dados de extensões de gerenciamento de senhas e carteiras de criptomoedas, como 1Password e MetaMask.

Para carteiras instaladas como aplicativos Ledger Live, Trezor Suite e Exodus —, o Reaper adota uma abordagem ainda mais sofisticada: em vez de substituir o aplicativo, ele modifica o código interno para desviar fundos em transações futuras, sem que o usuário perceba.

Por fim, instala uma porta dos fundos permanente disfarçada como um serviço do Google, garantindo acesso remoto ao computador mesmo depois que o ataque termina.

Como se proteger

Algumas atitudes simples reduzem muito o risco:

• Verifique sempre o endereço do site antes de baixar qualquer programa. Domínios com letras trocadas são sinal de alerta.
• Nunca informe a senha do Mac em janelas pop-up que apareçam durante ou após a instalação de um software. Instalações legítimas não pedem a senha dessa forma.
• Se o Script Editor abrir sozinho com um código carregado, não clique em executar sem saber exatamente o que aquele código faz.
• Mantenha um antivírus atualizado soluções com proteção em tempo real conseguem identificar scripts maliciosos antes da execução, inclusive os carregados via Script Editor.

A ideia de que Mac não pega vírus já custou caro para muita gente. Proteção real exige comportamento seguro e ferramentas adequadas independentemente do sistema operacional.