Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike

Opisi virusa, 19.05.2026, 12:30 PM

Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sistemsko ažuriranje i popularni poslovni softver.

Prema analizi SentinelLABS tima, Reaper predstavlja novu varijantu SHub infostealer malvera i uspešno zaobilazi zaštite koje je Apple nedavno implementirao u macOS Tahoe 26.4 kako bi sprečio slične napade.

Napad počinje preko lažnih stranica za preuzimanje aplikacija poput WeChat i Miro. Napadači koriste domene poput „mlcrosoft.co.com“ kako bi sajtovi izgledali legitimno i podsećali na Microsoftov sajt.

Kada korisnik poseti stranicu, skriveni JavaScript kod proverava informacije o sistemu, IP adresi, lokaciji korisnika i prisustvu bezbednosnih alata. Istraživači navode da se napad nastavlja samo ako korisnik nije iz Rusije.

Nakon toga korisnik biva prevaren da otvori Script Editor, ugrađeni macOS alat, preko posebno kreiranog linka koji sadrži skrivene komande maskirane praznim redovima i ASCII grafikom, tako da ih korisnik ne može videti na ekranu.

Ako korisnik klikne na „Run“, pojavljuje se lažno Apple bezbednosno upozorenje za XProtectRemediator, dok se u pozadini zapravo preuzimaju dodatni fajlovi korišćenjem alata curl.

U sledećoj fazi malver prikazuje dijalog za unos administratorske lozinke uređaja. Ukoliko korisnik unese lozinku, Reaper pokušava da ukrade podatke iz velikog broja pregledača, uključujući Chrome, Firefox, Edge, Brave, Opera, Vivaldi, Arc i Orion.

Malver takođe cilja menadžere lozinki poput 1Password-a, kao i kripto novčanike poput MetaMask-a.

Pored krađe lozinki, Reaper uključuje i funkcije za krađu dokumenata. Malver pretražuje foldere Desktop i Documents u potrazi za finansijskim i poslovnim fajlovima, kao i slikama određenih veličina.

Ukoliko su ukradeni fajlovi preveliki, Reaper ih automatski deli u manje ZIP arhive pre slanja na komandno-kontrolni server napadača.

Istraživači upozoravaju da jedna od najopasnijih karakteristika Reaper malvera predstavlja trajni backdoor koji imitira legitimni Google Software Update kako bi ostao sakriven na sistemu.

Skriveni proces svakih 60 sekundi komunicira sa serverom napadača i omogućava izvršavanje novih komandi sa visokim privilegijama korisnika, što napadačima ostavlja mogućnost dodatne kompromitacije uređaja i instalacije novog malvera.

Stručnjaci savetuju korisnicima da odmah zatvore Script Editor ukoliko ga neočekivano otvori web link, kao i da aplikacije preuzimaju isključivo sa proverenih i zvaničnih izvora.