+375(17) 307-26-70, +375(17) 342-26-71 - Офис

+375(44) 722-22-27, +375(29) 304-44-44 - A1
+375(33) 666-66-07 - MTC 

Минск, пр. Победителей 57, офис 11Н

пн.-пт. 10.00-18.00ч. без обеда

 

 
 
 

Вредоносная программа CrashStealer имитирует инструмент Apple для кражи паролей и криптографических данных

« К списку новостей


16.07.2026 11:10

По данным Jamf Threat Labs, пользователям Mac следует остерегаться вредоносной программы macOS под названием CrashStealer.

Эта вредоносная программа имитирует систему отчетов о сбоях Apple и предназначена для кражи различной конфиденциальной информации.

CrashStealer собирает данные браузера, данные менеджеров паролей, расширения криптовалютных кошельков и данные связки ключей, и Jamf впервые заметил его распространение в поддельном приложении Werkbit, заверенном нотариусом Apple. Благодаря нотариальному заверению вредоносное ПО не останавливается Gatekeeper, который является частью системы безопасности macOS.

Программа нацелена на более чем 80 расширений для криптовалютных кошельков и 14 менеджеров паролей, таких как 1Password, LastPass и Dashlane. Она ищет ценную информацию в папках «Документы» и «Загрузки».

Приложение выглядит правдоподобно и использует типичную процедуру установки программного обеспечения macOS, загружаемого через Интернет, с подробным описанием на веб-сайте Jamf. Поддельное приложение CrashReporter.app загружается через Werkbit и призвано имитировать собственное приложение Apple для отслеживания сбоев. Пользователь, нажав на это приложение, скорее всего, воспримет его как легитимную утилиту Apple.

Она запрашивает полный доступ к диску «для администрирования системы» и использует встроенный запрос пароля, который выглядит как настоящий запрос авторизации macOS. Введенный пароль используется для доступа к связке ключей входа в систему. Собранные данные шифруются с помощью AES–256-GCM через CommonCrypto от Apple и отправляются на IP-адрес злоумышленника.

Компания Jamf утверждает, что способ реализации CrashStealer «демонстрирует настоящую заботу», а этапы маскировки отличают его от стандартных программ для кражи информации. О вредоносном ПО сообщили в Apple после того, как оно было впервые обнаружено в мае, а в июле было выявлено его активное использование.

Apple аннулировала учетные данные для подписи приложения Werkbit, поэтому конкретный вектор атаки, описанный Jamf, был отключен, но вредоносное ПО может появиться снова. Первоначальная версия была доступна только по PIN-коду, что позволяет предположить, что она была нацелена на определенных пользователей.

Система нотаризации Apple призвана защитить пользователей Mac от вредоносных программ, и Apple заявляет, что нотариально заверенные приложения проверяются на наличие вредоносных компонентов. CrashStealer ясно показывает, что существуют методы сокрытия вредоносных программ от системы безопасности Apple.

При загрузке программного обеспечения пользователи могут защитить себя от CrashStealer, зная, что в программу Apple встроен инструмент для отслеживания сбоев. Любая загрузка, использующая CrashReporter, вызывает подозрения, как и приложение, запрашивающее системный пароль сразу после запуска.

Источник: apple-service.by

 

« К списку новостей

 
 
0.0007