CrashStealer na macOS: Falešné hlášení o pádu žádá heslo k Macu

CrashStealer krade hesla z Maců pomocí falešného hlášení o pádu
© RusPhotoBank

Výzkumníci z Jamf Threat Labs objevili nový malware pro macOS, který se vydává za systémové hlášení o pádu aplikace. Škodlivý program dostal název CrashStealer a pomocí falešného chybového okna se snaží vylákat heslo k Macu.

Pokud uživatel heslo zadá, CrashStealer může získat přístup k celé řadě osobních údajů. Ohroženy jsou především správci hesel, kryptoměnové peněženky a další citlivé informace uložené v zařízení. Podle Jamfu byly první vzorky sledovány od začátku května a na začátku července se už objevily známky nasazení při skutečných útocích.

CrashStealer se šířil prostřednictvím obrazu disku s názvem Werkbit Setup. Uvnitř byla aplikace Werkbit.app, jejíž spustitelný soubor se jmenoval veltod. Schéma bylo mimořádně nebezpečné, protože DMG i aplikace měly zpočátku platný podpis Apple Developer ID a notářské ověření, takže je Gatekeeper při prvním spuštění propustil.

Podle Macworldu už Apple vývojářské přihlašovací údaje zneplatnil, takže by Gatekeeper měl tuto verzi hrozby rozpoznat. Opatrnost je však stále namístě: útočníci mohou změnit balení, podpisy i názvy souborů, aniž by změnili princip útoku.

Hlavní doporučení zůstává stejné — aplikace stahovat pouze z Mac App Store nebo z oficiálních webů důvěryhodných vývojářů. Podezřelá by měla být také nečekaná hlášení o pádu a žádosti o heslo, zejména když okno tvrdí, že „Nastavení systému“ chce provést změny.