A Jamf Threat Labs kutatói új macOS-kártevőt fedeztek fel, amely egy alkalmazás összeomlásáról szóló rendszerjelentésnek álcázza magát. A CrashStealer nevű program hamis hibajelentési ablakkal próbálja megszerezni a Mac jelszavát.
A jelszó megadása után a CrashStealer számos személyes adathoz hozzáférhet. Veszélybe kerülhetnek a jelszókezelők, kriptovaluta-tárcák és az eszközön tárolt más bizalmas információk. A Jamf szerint az első mintákat május elején kezdték követni, július elejére pedig már valódi támadásokban történő használatra utaló jelek is megjelentek.
A CrashStealert egy Werkbit Setup nevű lemezképen keresztül terjesztették. Ebben a Werkbit.app alkalmazás volt, amelynek futtatható fájlja a veltod nevet viselte. A módszert különösen veszélyessé tette, hogy a DMG és az alkalmazás kezdetben érvényes Apple Developer ID-aláírással és közjegyzői hitelesítéssel rendelkezett, ezért a Gatekeeper az első indításkor átengedte őket.
A Macworld szerint az Apple már visszavonta a fejlesztői hitelesítő adatokat, így a Gatekeepernek fel kell ismernie a fenyegetésnek ezt a változatát. Az óvatosság azonban továbbra is indokolt: a támadók megváltoztathatják a csomagolást, az aláírásokat és a fájlneveket, miközben a támadás logikája változatlan marad.
A legfontosabb tanács nem változott — alkalmazásokat csak a Mac App Store-ból vagy megbízható fejlesztők hivatalos webhelyeiről érdemes letölteni. A váratlan hibajelentések és jelszókérések is gyanúsak lehetnek, különösen akkor, ha egy ablak azt állítja, hogy a „Rendszerbeállítások” módosításokat akar végrehajtani.