Дослідники з Jamf Threat Labs виявили нове шкідливе програмне забезпечення для macOS під назвою CrashStealer – воно видає себе за вбудований інструмент Apple для звітів про збої та збирає паролі, дані браузерів і криптогаманці. Загроза стосується будь-якого користувача Mac, який завантажує програми з інтернету. Про це повідомляє MacRumors.
CrashStealer потрапляв на пристрої через підроблений застосунок Werkbit, який мав нотаріально засвідчений підпис Apple. Завдяки цьому шкідливе ПЗ безперешкодно проходило перевірку Gatekeeper – стандартного захисного механізму macOS.
Що краде та як працює
Шкідливе ПЗ орієнтоване на широкий спектр чутливих даних. Зокрема, воно атакує:
- понад 80 розширень для криптовалютних гаманців
- 14 менеджерів паролів, включно з 1Password, LastPass і Dashlane
- дані браузерів і ланцюжок ключів macOS (keychain)
- вміст папок «Документи» та «Завантаження»
Werkbit запускає стандартну процедуру встановлення, звичну для будь-якого застосунку з інтернету, а потім завантажує підроблений CrashReporter.app – копію рідного інструменту Apple для звітів про збої. Програма запитує повний доступ до диска «для системного адміністрування» і показує нативне вікно введення пароля, яке візуально не відрізняється від справжнього запиту macOS. Введений пароль використовується для доступу до login keychain.
Зібрані дані шифруються за алгоритмом AES-256-GCM через Apple CommonCrypto та надсилаються на IP-адресу зловмисника. У Jamf зазначають, що реалізація CrashStealer «свідчить про справжню ретельність» – кроки з приховування виділяють його на тлі типових інфостілерів.
Чим завершилася ця атака і що робити далі
Про знахідку Jamf повідомив Apple: вперше шкідливе ПЗ помітили у травні, а в липні зафіксували його активне використання. Apple відкликала підписні дані застосунку Werkbit, тож конкретний вектор атаки, описаний Jamf, зараз неактивний. Проте дослідники попереджають: шкідливе ПЗ може з’явитися знову. Оригінальна версія вимагала PIN-код під час встановлення, що вказує на цілеспрямовані атаки проти конкретних осіб.
Щоб не стати жертвою подібних загроз, варто пам’ятати: CrashReporter вбудований у macOS і ніколи не завантажується як окремий застосунок із зовнішніх джерел. Будь-який інсталятор, що використовує назву CrashReporter, або застосунок, який одразу після запуску запитує системний пароль, – очевидні ознаки небезпеки.