Mastodon
Zdjęcie okładkowe wpisu CrashStealer — podszywa się pod narzędzie Apple i wykrada hasła

CrashStealer — podszywa się pod narzędzie Apple i wykrada hasła

0
Dodane: 12 godzin temu
fot. Wojtek Pietrusiewicz

Firma Jamf Threat Labs ostrzega przed nowym zagrożeniem dla użytkowników Maca — malware o nazwie CrashStealer, które podszywa się pod wbudowany w macOS mechanizm raportowania awarii, a w rzeczywistości służy do kradzieży wrażliwych danych, jak podaje MacRumors na podstawie analizy Jamf.

CrashStealer zbiera dane z przeglądarek, menedżerów haseł, rozszerzeń portfeli kryptowalut i pęku kluczy systemowego. Jamf po raz pierwszy zauważył malware krążące w fałszywej, notaryzowanej przez Apple aplikacji o nazwie Werkbit — notaryzacja sprawiła, że Gatekeeper, część systemu bezpieczeństwa macOS, nie zablokował jej instalacji. Złośliwe oprogramowanie celuje w ponad 80 rozszerzeń portfeli kryptowalutowych oraz 14 menedżerów haseł, w tym 1Password, LastPass i Dashlane, przeszukując przy tym foldery Dokumenty i Pobrane w poszukiwaniu wartościowych danych.

Aplikacja wygląda na w pełni legalną i przechodzi przez typowy proces instalacji oprogramowania pobranego z internetu. W jej ramach pobierana jest fałszywa aplikacja CrashReporter, podszywająca się pod prawdziwy mechanizm zgłaszania awarii Apple. Osoba klikająca w taką aplikację najprawdopodobniej uzna ją za autentyczne narzędzie systemowe. Malware prosi o pełny dostęp do dysku „w celach administracji systemowej” i wyświetla natywne okno logowania, które wygląda jak prawdziwa prośba o autoryzację macOS — wpisane hasło służy do uzyskania dostępu do pęku kluczy. Zebrane dane są szyfrowane algorytmem AES-256-GCM przy użyciu wbudowanego w macOS mechanizmu CommonCrypto i wysyłane na serwer atakującego.

Jamf ocenia, że sposób implementacji CrashStealer „wskazuje na prawdziwą staranność” — techniki ukrywania odróżniają go od typowych infostealerów. Malware zgłoszono Apple po pierwszym wykryciu w maju, a aktywne wykorzystanie zaobserwowano w lipcu. Apple unieważniło już poświadczenia podpisu aplikacji Werkbit, dezaktywując ten konkretny wektor ataku opisany przez Jamf — malware może jednak powrócić w innej formie. Pierwotna wersja wymagała podania kodu PIN przy instalacji, co sugeruje, że była wymierzona w konkretne, wybrane osoby.

System notaryzacji Apple ma chronić użytkowników Maca przed złośliwym oprogramowaniem — firma zapewnia, że notaryzowane aplikacje są sprawdzane pod kątem szkodliwych komponentów. CrashStealer pokazuje jednak wyraźnie, że istnieją metody ukrywania malware’u przed tym procesem weryfikacji.

Pobierając oprogramowanie z internetu, warto pamiętać, że mechanizm raportowania awarii Apple jest wbudowany w system — każda instalacja korzystająca z CrashReportera powinna wzbudzić czujność, podobnie jak aplikacja proszącą o hasło systemowe zaraz po uruchomieniu.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .