Danny Weber
Infostealer pro macOS využíval notarizovanou aplikaci k průchodu přes Gatekeeper a kradl data ze správců hesel, kryptopeněženek a prohlížečů.
Výzkumníci z Jamf Threat Labs objevili nový malware pro macOS, který se vydává za systémové hlášení o pádu aplikace. Škodlivý program dostal název CrashStealer a pomocí falešného chybového okna se snaží vylákat heslo k Macu.
Pokud uživatel heslo zadá, CrashStealer může získat přístup k celé řadě osobních údajů. Ohroženy jsou především správci hesel, kryptoměnové peněženky a další citlivé informace uložené v zařízení. Podle Jamfu byly první vzorky sledovány od začátku května a na začátku července se už objevily známky nasazení při skutečných útocích.
CrashStealer se šířil prostřednictvím obrazu disku s názvem Werkbit Setup. Uvnitř byla aplikace Werkbit.app, jejíž spustitelný soubor se jmenoval veltod. Schéma bylo mimořádně nebezpečné, protože DMG i aplikace měly zpočátku platný podpis Apple Developer ID a notářské ověření, takže je Gatekeeper při prvním spuštění propustil.
Podle Macworldu už Apple vývojářské přihlašovací údaje zneplatnil, takže by Gatekeeper měl tuto verzi hrozby rozpoznat. Opatrnost je však stále namístě: útočníci mohou změnit balení, podpisy i názvy souborů, aniž by změnili princip útoku.
Hlavní doporučení zůstává stejné — aplikace stahovat pouze z Mac App Store nebo z oficiálních webů důvěryhodných vývojářů. Podezřelá by měla být také nečekaná hlášení o pádu a žádosti o heslo, zejména když okno tvrdí, že „Nastavení systému“ chce provést změny.
© RusPhotoBank