Se usi un Mac, la cosa più importante da sapere è questa: non installare software da link ricevuti o da siti che sembrano ufficiali ma non lo sono. Se hai il dubbio di aver aperto un installer sospetto, cambia subito le password principali, controlla i wallet crypto e verifica i profili di avvio automatico. Il nuovo malware Reaper punta proprio a rubare accessi, dati personali e portafogli digitali, poi lascia una porta aperta sul sistema per tornare a colpire.
Come funziona l’attacco
Un nuovo infostealer progettato per macOS sta prendendo di mira gli utenti con una strategia ingannevole ma efficace: finge di essere legato a marchi noti come Apple, Microsoft e Google, induce la vittima ad avviare un falso installatore e poi passa al furto di credenziali e dati sensibili. La variante più recente della famiglia SHub è stata ribattezzata Reaper e introduce un approccio più diretto e meno dipendente dai vecchi trucchi sociali.
La differenza principale rispetto ad altre campagne simili è che Reaper non si affida al classico meccanismo del copia-incolla in Terminal. Invece, sfrutta Script Editor di macOS con un comando malevolo già pronto, nascosto dentro un flusso che porta l’utente a cliccare e autorizzare l’esecuzione. In questo modo aggira alcune difese introdotte nelle versioni più recenti del sistema.
L’attacco inizia con siti falsi che imitano installer di app molto usate, come WeChat e Miro. Queste pagine sono ospitate su domini costruiti per sembrare affidabili, spesso con nomi che richiamano da vicino brand noti. Una volta che il visitatore apre la pagina, uno script nascosto raccoglie informazioni sull’ambiente: indirizzo IP, posizione approssimativa, dati di fingerprinting WebGL e segnali che possano indicare l’uso di macchina virtuale o VPN.
Se il sistema sembra trovarsi in Russia, l’attacco si interrompe. In caso contrario, la vittima viene spinta ad aprire Script Editor attraverso un collegamento progettato per sembrare innocuo, ma in realtà riempito di testo superfluo e contenuti fittizi per spostare il comando dannoso fuori dalla vista immediata.
Cosa ruba Reaper
Una volta avviato, il malware mostra un messaggio che imita un aggiornamento di sicurezza per uno strumento di protezione di Apple. In realtà, il comando esegue una richiesta remota che scarica uno script di shell in silenzio. A quel punto viene chiesto all’utente di inserire le credenziali di accesso, che vengono poi intercettate e usate per decifrare ulteriori dati memorizzati sul sistema.
Reaper non si limita ai dati base. La sua capacità di raccolta include:
- password salvate nei gestori credenziali
- dati dei browser
- informazioni di iCloud e Keychain
- sessioni di Telegram
- file di configurazione utili agli sviluppatori
- wallet e dati legati alle criptovalute
Tra i bersagli più interessanti ci sono anche wallet come MetaMask e Phantom, oltre a strumenti desktop per criptovalute come Exodus, Atomic Wallet, Ledger Wallet, Ledger Live e Trezor Suite. Se questi componenti vengono trovati, il malware tenta di interferire con i file o con le configurazioni del wallet per favorire il furto continuo dei fondi.
Perché è pericoloso
L’aspetto più insidioso di Reaper non è solo il furto iniziale. Il malware aggiunge anche una componente di persistenza, cioè un meccanismo che gli permette di restare attivo nel tempo e di tornare a contattare il server di comando e controllo. Per farlo, crea una struttura di directory che imita il comportamento di un componente legittimo di aggiornamento software di Google.
Poi installa un LaunchAgent che esegue periodicamente un file chiamato in modo da sembrare innocuo. Ogni esecuzione invia dettagli del sistema a un endpoint remoto dedicato, funzionando come un segnale di presenza. Se il server dell’attaccante risponde con un payload, lo script lo decodifica, lo salva in un file nascosto ed esegue il codice con i privilegi dell’utente, eliminando poi le tracce più evidenti.
Questo significa che il dispositivo compromesso può essere usato per:
- rubare altri dati in un secondo momento
- installare nuovi componenti malevoli
- muoversi verso altri obiettivi sulla stessa rete
- mantenere accesso stabile alla macchina infetta
Cosa devono fare subito gli utenti Mac
Se stai usando macOS, ci sono alcune azioni pratiche che puoi fare subito per ridurre il rischio:
- Non aprire installer da link non verificati.
- Controlla sempre il dominio prima di scaricare qualcosa.
- Diffida di messaggi che spingono a usare Script Editor, Terminal o comandi incollati.
- Aggiorna macOS e le app di sicurezza appena possibile.
- Usa un gestore password affidabile e attiva l’autenticazione a più fattori.
- Verifica i wallet crypto e sposta i fondi se pensi che possano essere stati esposti.
- Controlla i LaunchAgent e gli elementi di login se noti comportamenti sospetti.
- Cambia le credenziali dei servizi più importanti da un dispositivo sicuro.
Se hai già inserito una password in una schermata sospetta, considera quella credenziale compromessa. Il problema non riguarda solo l’account usato in quel momento: se la stessa password è riutilizzata altrove, il rischio si estende rapidamente.
Segnali che qualcosa non va
Alcuni indizi possono suggerire un’infezione o un tentativo di compromissione:
- richieste di accesso improvvise non attese
- finestre di aggiornamento strane o fuori contesto
- app che si aprono da sole o con nomi simili a servizi noti
- rallentamenti anomali del sistema
- attività insolita nei wallet crypto
- nuovi elementi di avvio automatico che non riconosci
Se noti uno di questi segnali, scollega il Mac dalla rete, esegui una scansione con un tool di sicurezza affidabile e controlla i processi persistenti.
Perché questa campagna è efficace
Reaper sfrutta una combinazione pericolosa: brand noti, siti ingannevoli, tecniche di social engineering e un’esecuzione più discreta. L’utente vede un flusso che sembra normale, ma dietro le quinte il sistema viene sondato, le credenziali vengono sottratte e il malware prepara una seconda fase operativa.
Il fatto che l’attacco si concentri su wallet, password manager e file personali rende la minaccia interessante sia per chi usa il Mac per lavoro sia per chi gestisce asset digitali. Un singolo clic può esporre account, documenti e criptovalute, con conseguenze immediate e difficili da recuperare.
La lezione principale è semplice: fidarsi del nome di un marchio non basta. Bisogna controllare il dominio, scaricare solo da fonti ufficiali e diffidare di qualunque flusso che chieda di eseguire manualmente uno script per “aggiornare” la sicurezza.
Technical Deep Dive
Reaper rappresenta un’evoluzione della famiglia SHub con un focus su evasione, raccolta dati e persistenza. La catena d’attacco include una fase iniziale di reconnaissance client-side, in cui JavaScript raccoglie informazioni su rete, geolocalizzazione e impronte grafiche per filtrare gli obiettivi e ridurre l’esposizione degli operatori.
L’uso di Script Editor al posto di Terminal è un dettaglio importante: sposta l’interazione in un contesto percepito come meno rischioso dall’utente e può aggirare alcune mitigazioni comportamentali introdotte nelle versioni recenti di macOS. Il payload AppleScript viene nascosto in un contenitore visivamente fuorviante, con il codice malevolo posizionato ben sotto l’area di attenzione immediata.
Dal punto di vista operativo, il malware combina capacità tipiche di un infostealer moderno:
- esfiltrazione di browser data e session tokens
- raccolta di informazioni da Keychain e aree di configurazione locali
- targetizzazione di wallet desktop e browser extension crypto
- ricerca di documenti con contenuto finanziario o business-critical
- installazione di un meccanismo di persistence basato su LaunchAgent
La persistenza è particolarmente rilevante perché il LaunchAgent richiama periodicamente uno script che agisce da beacon verso il server C2. Questo consente all’operatore di inviare payload successivi che vengono decodificati ed eseguiti localmente con i privilegi dell’utente, aumentando le possibilità di lateral movement o di reinstallazione di altri carichi malevoli.
Per la difesa, i controlli più utili includono monitoraggio dei LaunchAgent, verifica degli elementi in Library/Application Support, controllo dei processi che aprono connessioni periodiche verso endpoint non riconosciuti e ispezione dei percorsi che imitano servizi legittimi come aggiornatori software. Anche l’analisi dei domini typosquatted e dei redirect anomali può aiutare a intercettare la fase iniziale dell’attacco prima dell’esecuzione del payload.
