Фахівці Jamf Threat Labs виявили нове шкідливе програмне забезпечення для macOS під назвою CrashStealer, яке видає себе за вбудовану систему надсилання звітів про збої Apple. За даними дослідників, вірус здатний непомітно викрадати конфіденційну інформацію користувача, зокрема паролі, дані браузерів і криптовалютних гаманців.
Інформація про нову загрозу ґрунтується на офіційному дослідженні Jamf Threat Labs. Після отримання звіту Apple вже відкликала цифровий сертифікат застосунку, через який поширювалося шкідливе ПЗ. Водночас фахівці попереджають, що зловмисники можуть повторно використати аналогічні схеми поширення.
Як працює CrashStealer
Вперше шкідливу програму виявили у травні, а вже в липні дослідники зафіксували її активне використання. CrashStealer поширювався через застосунок Werkbit, який мав офіальну нотаріальну перевірку Apple. Завдяки цьому macOS не блокувала встановлення через механізм безпеки Gatekeeper, оскільки програма виглядала довіреною.
Після встановлення на комп'ютер завантажувався фальшивий застосунок CrashReporter.app, який візуально майже не відрізнявся від вбудованої системної утиліти Apple. Через це користувач міг сприйняти його за звичайний компонент macOS.
Після запуску програма запитувала повний доступ до диска нібито «для адміністрування системи», а потім відображала стандартне вікно введення пароля macOS. Введений пароль використовувався для отримання доступу до системної зв'язки ключів (Keychain), де можуть зберігатися паролі, сертифікати та інші конфіденційні дані.
Викрадена інформація шифрувалася за допомогою алгоритму AES-256-GCM через вбудовану бібліотеку Apple CommonCrypto та передавалася на сервер зловмисників.
Які дані цікавлять зловмисників
CrashStealer орієнтований на максимально широкий збір користувацьких даних. Окрім браузерів, він аналізує вміст популярних папок macOS і шукає файли, що можуть становити цінність.
- дані браузерів і збережені облікові записи;
- паролі із системної зв'язки ключів Keychain;
- дані понад 80 розширень криптовалютних гаманців;
- інформацію з 14 популярних менеджерів паролів, зокрема 1Password, LastPass і Dashlane;
- файли з папок «Документи» та «Завантаження».
За словами фахівців Jamf Threat Labs, реалізація CrashStealer помітно відрізняється від більшості відомих інфостілерів. Його розробники приділили особливу увагу маскуванню шкідливої активності, завдяки чому програма виглядає значно переконливіше за типові шкідливі застосунки для macOS.
Apple вже заблокувала відомий спосіб поширення
Після отримання повідомлення Apple оперативно відкликала сертифікат підпису застосунку Werkbit. Унаслідок цього саме цей канал поширення шкідливого програмного забезпечення більше не працює.
Втім, дослідники наголошують, що сам CrashStealer нікуди не зник. Зловмисники можуть повторно використати той самий шкідливий код, поширюючи його через інші застосунки або нові схеми соціальної інженерії. Додатковою ознакою цілеспрямованої атаки стало те, що початкова версія програми встановлювалася лише після введення спеціального PIN-коду, що може свідчити про орієнтацію на заздалегідь визначених жертв.
Як захистити Mac від подібних загроз
Хоча система нотаріальної перевірки Apple залишається одним із ключових механізмів захисту macOS, випадок із CrashStealer демонструє, що навіть офіційно підписані застосунки не завжди є безпечними. Саме тому експерти радять звертати увагу не лише на наявність цифрового підпису, а й на поведінку самої програми.
- не завантажуйте застосунки з невідомих джерел;
- пам'ятайте, що вбудований Crash Reporter уже є в macOS і не потребує окремого встановлення;
- насторожіться, якщо програма одразу після запуску просить ввести пароль адміністратора;
- не надавайте повний доступ до диска застосункам, призначення яких викликає сумніви;
- регулярно оновлюйте macOS і встановлені засоби захисту.
Що це означає для користувачів в Україні
Для українських користувачів ця загроза також є актуальною, адже комп'ютери Apple широко використовуються не лише для особистих потреб, а й для роботи, дистанційної зайнятості та зберігання фінансової інформації. Багато власників Mac користуються криптовалютними гаманцями й менеджерами паролів, які якраз належать до основних цілей CrashStealer. Тому навіть наявність офіційного цифрового підпису Apple більше не варто сприймати як абсолютну гарантію безпеки.
Фахівці з кібербезпеки зазначають, що поява CrashStealer демонструє нову тенденцію: зловмисники дедалі частіше намагаються обходити вбудовані механізми захисту не завдяки складним технічним експлойтам, а шляхом максимально правдоподібної імітації системних компонентів macOS. Саме тому уважність користувача й надалі залишається одним із найефективніших способів захисту.
Джерело: macrumors
.png)

