O проекте Мобильная версия Реклама Статьи партнеров PR Crypto E-bike
Xiaomi Apple Samsung Google Huawei Oppo Vivo Realme Microsoft AnTuTu
iLenta

На Mac обнаружили опасный вирус CrashStealer, который маскируется под системную утилиту Apple

16 июля 2026, 23:07 | Oleksandr Bazanov [55]

Специалисты Jamf Threat Labs обнаружили новое вредоносное ПО для macOS под названием CrashStealer, которое выдает себя за встроенную систему отправки отчетов об ошибках Apple. По данным исследователей, вирус способен незаметно похищать конфиденциальную информацию пользователя, включая пароли, данные браузеров и криптовалютных кошельков.

На Mac обнаружили опасный вирус CrashStealer, который маскируется под системную утилиту Apple

Информация о новой угрозе является официальной и основана на исследовании Jamf Threat Labs. После получения отчета Apple уже приняла меры и отозвала цифровую подпись приложения, через которое распространялось вредоносное ПО. Однако специалисты предупреждают, что злоумышленники могут использовать аналогичные схемы повторно.

Как работает CrashStealer

Впервые вредоносную программу обнаружили в мае, а в июле исследователи зафиксировали ее активное использование. CrashStealer распространялся через приложение Werkbit, которое имело официальную нотариальную подпись Apple. Благодаря этому macOS не блокировала установку через механизм безопасности Gatekeeper, поскольку программа выглядела доверенной.

После установки на компьютер загружалось фальшивое приложение CrashReporter.app, визуально практически неотличимое от встроенной системной утилиты Apple. Пользователь мог решить, что перед ним обычный компонент macOS.

При запуске программа запрашивала полный доступ к диску якобы «для администрирования системы», а затем отображала стандартное окно ввода пароля macOS. Введенный пароль использовался для получения доступа к системной связке ключей (Keychain), где могут храниться пароли, сертификаты и другие конфиденциальные данные.

Похищенная информация шифровалась с использованием алгоритма AES-256-GCM через встроенную библиотеку Apple CommonCrypto и передавалась на сервер злоумышленников.

Какие данные интересуют злоумышленников

CrashStealer ориентирован на максимально широкий сбор пользовательской информации. Помимо браузеров он анализирует содержимое популярных папок macOS и ищет файлы, представляющие ценность.

  • данные браузеров и сохраненные учетные записи;
  • пароли из системной связки ключей Keychain;
  • данные более чем 80 расширений криптовалютных кошельков;
  • информацию из 14 популярных менеджеров паролей, включая 1Password, LastPass и Dashlane;
  • файлы из папок «Документы» и «Загрузки».

По словам специалистов Jamf Threat Labs, реализация CrashStealer заметно отличается от большинства известных инфостилеров. Авторы уделили большое внимание маскировке вредоносной активности, благодаря чему программа выглядит значительно убедительнее типичных вредоносных приложений для macOS.

Apple уже заблокировала известный способ распространения

После получения уведомления Apple оперативно отозвала сертификат подписи приложения Werkbit. В результате именно этот канал распространения вредоносного ПО больше не работает.

Однако исследователи подчеркивают, что сам CrashStealer не исчез. Злоумышленники могут повторно использовать тот же вредоносный код, распространяя его через другие приложения или новые схемы социальной инженерии. Дополнительным признаком целевой атаки стало то, что первоначальная версия программы устанавливалась только после ввода специального PIN-кода, что говорит о возможной ориентации на заранее выбранных жертв.

Как защитить Mac от подобных угроз

Хотя система нотариальной проверки Apple остается одним из ключевых механизмов защиты macOS, случай с CrashStealer показывает, что даже официально подписанные приложения не всегда оказываются безопасными. Именно поэтому специалисты рекомендуют обращать внимание не только на наличие подписи, но и на поведение самой программы.

  • не скачивайте приложения из неизвестных источников;
  • помните, что встроенный Crash Reporter уже присутствует в macOS и не требует отдельной установки;
  • насторожитесь, если программа сразу после запуска просит ввести пароль администратора;
  • не предоставляйте полный доступ к диску приложениям, назначение которых вызывает сомнения;
  • регулярно обновляйте macOS и установленные программы безопасности.

Для украинских пользователей эта новость особенно актуальна, поскольку компьютеры Apple широко используются не только в личных целях, но и для работы, удаленной занятости и хранения финансовых данных. Многие владельцы Mac также используют криптовалютные кошельки и менеджеры паролей, которые как раз входят в число основных целей CrashStealer. Поэтому даже установка приложения с официальной подписью Apple больше не должна восприниматься как абсолютная гарантия безопасности.

Эксперты по кибербезопасности отмечают, что появление CrashStealer демонстрирует новую тенденцию: злоумышленники все чаще стараются обходить встроенные механизмы защиты не за счет сложных технических эксплойтов, а благодаря максимально правдоподобной имитации системных компонентов macOS. Именно поэтому внимательность пользователя остается одним из самых эффективных способов защиты, даже несмотря на постоянное совершенствование средств безопасности Apple.

Теги:

Источник: macrumors

YouTube Telegram
Комментарии

ОБЗОРЫ

НОВОСТИ И СОБЫТИЯ

УСТРОЙСТВА И АКСЕССУАРЫ

ИНСТРУКЦИИ, СОВЕТЫ И СЕКРЕТЫ

КРИПТОВАЛЮТЫ

Ads
Safe Life
Ads
Ads
https://ilenta.com/ps/services/kupiti-vds-yak-vibrati-ta-ne-pozhalkuvati.html https://ilenta.com/ps/services/services_7694.html https://ilenta.com/ps/services/privatna-khmara-dlya-biznesu-bezpeka-i-100-konfidenciinist.html https://ilenta.com/ps/services/services_7580.html https://ilenta.com/ps/products/mezhdu-derzhit-i-zakrepleno-pravilno-chto-realno-stoit-za-vyborom-krepezha-diska.html https://ilenta.com/ps/products/kak-pravilno-khranit-tverdyi-syr-doma.html https://ilenta.com/ps/navisho-lyudi-zvantazhuyut-video-z-yutuba.html https://ilenta.com/ps/services/ispolzovanie-vps-dlya-telegram-botov-s-oplatoi-usdt.html