MacRumors

Skip to Content

Вредоносное ПО CrashStealer маскируется под инструмент Apple для кражи паролей и криптовалют на Mac

Пользователям Mac следует остерегаться вредоносного ПО для macOS под названием CrashStealer, сообщает Jamf Threat Labs. Эта вредоносная программа имитирует работу встроенного механизма обработки отчетов об ошибках Apple и предназначена для кражи конфиденциальной информации различных типов.

bug security vulnerability issue fix larry
CrashStealer собирает данные браузеров, сведения из менеджеров паролей, расширения криптовалютных кошельков и данные связки ключей (keychain). Специалисты Jamf впервые обнаружили его распространение в составе поддельного приложения Werkbit, которое якобы было нотариально заверено Apple. Благодаря наличию нотариального заверения вредоносное ПО обходит систему безопасности Gatekeeper, встроенную в macOS.

Программа нацелена на более чем 80 расширений криптовалютных кошельков и 14 менеджеров паролей, включая 1Password, LastPass и Dashlane. Она сканирует папки «Документы» и «Загрузки» в поисках ценной информации.

Приложение выглядит как легитимное и использует стандартную процедуру установки для программного обеспечения, загруженного из интернета, процесс которой подробно описан на сайте Jamf. В составе Werkbit загружается поддельное приложение CrashReporter.app, имитирующее оригинальный инструмент Apple для отправки отчетов об ошибках. Пользователь, запустивший такое приложение, скорее всего, примет его за официальную утилиту Apple.

Программа запрашивает полный доступ к диску «для системного администрирования» и использует стандартный запрос пароля, который выглядит как официальное окно авторизации macOS. Введенный пароль используется для доступа к связке ключей пользователя. Собранные данные шифруются по алгоритму AES–256-GCM с помощью библиотеки Apple CommonCrypto и отправляются на IP-адрес злоумышленника.

В Jamf отмечают, что реализация CrashStealer «демонстрирует тщательный подход», а методы скрытности выделяют его на фоне стандартных шпионских программ. О вредоносном ПО сообщили в Apple после того, как его впервые заметили в мае; в июле оно уже активно использовалось.

Компания Apple отозвала сертификаты подписи приложения Werkbit, поэтому описанный специалистами Jamf вектор атаки был нейтрализован, однако вредоносное ПО может появиться снова. Исходная версия требовала ввода PIN-кода для установки, что указывает на направленность атаки против конкретных лиц.

Система нотариального заверения Apple призвана защищать пользователей Mac от вредоносного ПО, и Apple утверждает, что нотариально заверенные приложения проверяются на наличие вредоносных компонентов. CrashStealer наглядно показывает, что существуют методы сокрытия вредоносного кода от систем безопасности Apple.

При загрузке программного обеспечения пользователи могут защитить себя от CrashStealer, помня о том, что средство отправки отчетов об ошибках уже встроено в macOS. Любой загруженный файл, использующий CrashReporter, — это тревожный сигнал, так же как и приложение, которое запрашивает системный пароль сразу после запуска.