Вредонос CrashStealer притворяется утилитой Apple, чтобы украсть пароли и криптовалюту с Mac

Crashstealer Macos вредонос Jamf кража данных безопасность macrumors.com

Остерегайтесь вредоноса CrashStealer на macOS: он маскируется под отчеты о сбоях Apple, ворует данные браузеров, паролей и криптокошельков. Узнайте, как защититься от этой угрозы, обнаруженной Jamf в поддельном приложении Werkbit.

Вредонос CrashStealer собирает данные браузеров, менеджеров паролей, расширений криптовалютных кошельков и связки ключей. Компания Jamf впервые заметила его распространение в поддельном приложении Werkbit, прошедшем нотариальное заверение Apple. Из-за нотариального заверения вредонос не блокируется Gatekeeper — частью системы безопасности macOS.

Он нацелен более чем на 80 расширений криптовалютных кошельков и 14 менеджеров паролей, таких как 1Password, LastPass и Dashlane. Вредонос сканирует папки «Документы» и «Загрузки» в поисках ценной информации.

Приложение выглядит легитимным и использует стандартную для macOS процедуру установки программного обеспечения, загруженного через интернет. Подробности процесса описаны на сайте Jamf. Через Werkbit загружается поддельный CrashReporter.app, который выдает себя за собственный инструмент отчетов о сбоях Apple. Пользователь, нажавший на приложение, скорее всего, воспримет его как легитимную утилиту Apple.

Оно запрашивает полный доступ к диску «для системного администрирования» и использует нативное окно ввода пароля, которое выглядит как настоящий запрос авторизации macOS. Введенный пароль используется для доступа к связке ключей входа. Собранные данные шифруются с помощью AES–256-GCM через CommonCrypto от Apple и отправляются на IP-адрес злоумышленника.

Jamf отмечает, что реализация CrashStealer «демонстрирует настоящую тщательность», а меры по сокрытию выделяют его на фоне стандартных информационных похитителей. Вредонос был передан Apple после первого обнаружения в мае, а в июле его нашли в активном использовании.

Apple отозвала сертификаты подписи приложения Werkbit, поэтому конкретный вектор атаки, описанный Jamf, был заблокирован, но вредонос может появиться снова. Оригинальная версия была защищена PIN-кодом, необходимым для установки, что указывает на нацеленность на конкретных лиц.

Система нотариального заверения Apple предназначена для защиты пользователей Mac от вредоносного ПО, и Apple утверждает, что нотариально заверенные приложения проверяются на наличие вредоносных компонентов. CrashStealer наглядно демонстрирует, что существуют методы сокрытия вредоносов от процесса безопасности Apple.

При загрузке программного обеспечения пользователи могут защитить себя от CrashStealer, помня, что инструмент отчетов о сбоях Apple является встроенным. Любая загрузка, использующая CrashReporter, является тревожным сигналом, как и приложение, запрашивающее системный пароль сразу после запуска.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: