最近,苹果 Mac 用户也开始被盯上了。
根据安全公司 SentinelOne 最新披露,一种名为 “Reaper” 的新型窃密木马,正在通过假冒微信(WeChat)、Miro 等软件安装包传播,而且这次的攻击方式,比以前更隐蔽。

简单来说:
你以为自己下载的是微信,
实际上装进去的,
可能是一整套窃取数据的后门程序。
这次最危险的地方:不像以前那么“明显”了
早期很多 Mac 木马,其实都比较粗暴。
会诱导用户打开 Terminal(终端),手动复制命令执行。
不少人一看终端代码,就会意识到不对劲。
但这次的 Reaper 不一样。
它开始利用 AppleScript 发起攻击。
攻击者会做一个假的软件下载页面,域名看起来也特别像正版网站,比如:
qq-0732gwh22[.]com mlcrosoft[.]co[.]com mlroweb[.]com
很多人不仔细看,真的很容易中招。
而且用户点击下载后,
不会直接看到危险代码,
而是会自动拉起 macOS 的 Script Editor(脚本编辑器)。
里面甚至已经提前写好了恶意脚本。
用户只要点一下 “Run(运行)”,
木马就开始执行。
甚至还会伪装成苹果安全更新
更离谱的是,
这个木马还会弹出假的苹果系统安全提示。
甚至会提到 XProtectRemediator 这种苹果官方安全组件名字。
普通用户看到之后,很容易以为:
“这是系统更新。”
“这是苹果官方安全检测。”
结果其实是在给木马开权限。
随后程序会静默下载更多恶意脚本,并在后台自动运行。
整个过程,大部分用户根本察觉不到。
它到底会偷什么?
这次的 Reaper,属于典型的信息窃取器。
但能力明显比以前更狠。
它会重点盯这些内容:
浏览器数据
包括:
Chrome Edge Firefox Brave Arc Opera Vivaldi
里的:
Cookie 账号密码 浏览记录 自动填充信息
数字钱包
它还专门针对:
MetaMask Phantom
等加密钱包插件。
甚至会检测:
Ledger Live Trezor Suite Exodus
这些桌面钱包应用。
发现后,会直接替换核心文件。
等于钱包都可能被接管。
密码管理器
包括:
1Password Bitwarden LastPass
等密码工具也在目标范围内。
甚至连 iCloud、Telegram 都不放过
研究人员表示:
它还会收集:
iCloud 数据 Telegram 会话 开发者配置文件
以及桌面、文稿文件夹里的内容。
它会优先偷走:
2MB 以下文件 PNG 图片 文档资料
总窃取量最高可达 150MB。
为什么这次危险?
因为它不像传统病毒那样“很明显”。
很多 Mac 用户一直有个误区:
“Mac 不会中毒。”
但实际上,
现在越来越多攻击者,
开始专门针对 macOS。
尤其是:
做跨境 做币圈 做设计 做开发 经常保存账号密码的人
几乎都是重点目标。
而且这次攻击最大的特点就是:
伪装得太像正常软件。
很多人甚至到账号被盗,
都不知道自己什么时候中的招。
最后提醒一句
Mac 确实比很多系统更安全。
但“安全”不代表“不会被攻击”。
尤其现在很多木马,
已经开始利用:
假官网 假更新 假安装包
这种方式下手。
所以以后下载软件时,
一定记住:
不要随便点陌生链接,
不要乱装第三方安装包,
更不要看到弹窗就直接点“运行”。
很多时候,
真正危险的,
恰恰是“看起来最正常”的东西。
夜雨聆风