Danny Weber
macOS-tietovaras käytti notarisoitua sovellusta Gatekeeperin ohittamiseen ja varasti tietoja salasanojen hallinnasta, kryptolompakoista ja selaimista.
Jamf Threat Labsin tutkijat ovat löytäneet uuden macOS-haittaohjelman, joka tekeytyy sovelluksen kaatumisesta kertovaksi järjestelmäraportiksi. CrashStealer-niminen haittaohjelma näyttää väärennetyn kaatumisikkunan saadakseen käyttäjän syöttämään Macin salasanan.
Jos salasana annetaan, CrashStealer voi päästä käsiksi monenlaisiin henkilötietoihin. Vaarassa ovat muun muassa salasanojen hallintasovellukset, kryptolompakot ja muut laitteelle tallennetut arkaluonteiset tiedot. Jamfin mukaan ensimmäisiä näytteitä alettiin seurata toukokuun alussa, ja heinäkuun alkuun mennessä haittaohjelman käytöstä oikeissa hyökkäyksissä oli jo merkkejä.
CrashStealeria levitettiin Werkbit Setup -nimisen levykuvan kautta. Sen sisällä oli Werkbit.app-sovellus, jonka suoritettavan tiedoston nimi oli veltod. Menetelmä oli erityisen vaarallinen, sillä DMG-tiedostolla ja sovelluksella oli aluksi voimassa oleva Apple Developer ID -allekirjoitus ja notarisointi. Siksi Gatekeeper päästi ne läpi ensimmäisellä käynnistyskerralla.
Macworldin mukaan Apple on jo mitätöinyt kehittäjän tunnistetiedot, joten Gatekeeperin pitäisi tunnistaa tämä uhkaversio. Varovaisuus on silti tarpeen: hyökkääjät voivat vaihtaa paketoinnin, allekirjoitukset ja tiedostonimet säilyttäen saman hyökkäyslogiikan.
Tärkein suositus ei muutu — sovelluksia kannattaa ladata vain Mac App Storesta tai luotettavien kehittäjien virallisilta sivustoilta. Myös odottamattomiin kaatumisraportteihin ja salasanapyyntöihin on syytä suhtautua epäillen, varsinkin jos ikkuna väittää, että ”Järjestelmäasetukset” haluaa tehdä muutoksia.
© RusPhotoBank