CrashStealer — podszywa się pod narzędzie Apple i wykrada hasła
Firma Jamf Threat Labs ostrzega przed nowym zagrożeniem dla użytkowników Maca — malware o nazwie CrashStealer, które podszywa się pod wbudowany w macOS mechanizm raportowania awarii, a w rzeczywistości służy do kradzieży wrażliwych danych, jak podaje MacRumors na podstawie analizy Jamf.
CrashStealer zbiera dane z przeglądarek, menedżerów haseł, rozszerzeń portfeli kryptowalut i pęku kluczy systemowego. Jamf po raz pierwszy zauważył malware krążące w fałszywej, notaryzowanej przez Apple aplikacji o nazwie Werkbit — notaryzacja sprawiła, że Gatekeeper, część systemu bezpieczeństwa macOS, nie zablokował jej instalacji. Złośliwe oprogramowanie celuje w ponad 80 rozszerzeń portfeli kryptowalutowych oraz 14 menedżerów haseł, w tym 1Password, LastPass i Dashlane, przeszukując przy tym foldery Dokumenty i Pobrane w poszukiwaniu wartościowych danych.
Aplikacja wygląda na w pełni legalną i przechodzi przez typowy proces instalacji oprogramowania pobranego z internetu. W jej ramach pobierana jest fałszywa aplikacja CrashReporter, podszywająca się pod prawdziwy mechanizm zgłaszania awarii Apple. Osoba klikająca w taką aplikację najprawdopodobniej uzna ją za autentyczne narzędzie systemowe. Malware prosi o pełny dostęp do dysku „w celach administracji systemowej” i wyświetla natywne okno logowania, które wygląda jak prawdziwa prośba o autoryzację macOS — wpisane hasło służy do uzyskania dostępu do pęku kluczy. Zebrane dane są szyfrowane algorytmem AES-256-GCM przy użyciu wbudowanego w macOS mechanizmu CommonCrypto i wysyłane na serwer atakującego.
Jamf ocenia, że sposób implementacji CrashStealer „wskazuje na prawdziwą staranność” — techniki ukrywania odróżniają go od typowych infostealerów. Malware zgłoszono Apple po pierwszym wykryciu w maju, a aktywne wykorzystanie zaobserwowano w lipcu. Apple unieważniło już poświadczenia podpisu aplikacji Werkbit, dezaktywując ten konkretny wektor ataku opisany przez Jamf — malware może jednak powrócić w innej formie. Pierwotna wersja wymagała podania kodu PIN przy instalacji, co sugeruje, że była wymierzona w konkretne, wybrane osoby.
System notaryzacji Apple ma chronić użytkowników Maca przed złośliwym oprogramowaniem — firma zapewnia, że notaryzowane aplikacje są sprawdzane pod kątem szkodliwych komponentów. CrashStealer pokazuje jednak wyraźnie, że istnieją metody ukrywania malware’u przed tym procesem weryfikacji.
Pobierając oprogramowanie z internetu, warto pamiętać, że mechanizm raportowania awarii Apple jest wbudowany w system — każda instalacja korzystająca z CrashReportera powinna wzbudzić czujność, podobnie jak aplikacja proszącą o hasło systemowe zaraz po uruchomieniu.






