CrashStealer op macOS: een nepcrashrapport vraagt om het Mac-wachtwoord

CrashStealer steelt Mac-wachtwoorden via een nepcrashrapport
© RusPhotoBank

Onderzoekers van Jamf Threat Labs hebben nieuwe malware voor macOS ontdekt die zich voordoet als een systeemrapport over een vastgelopen app. De malware heet CrashStealer en gebruikt een vals crashvenster om het wachtwoord van de Mac te ontfutselen.

Wanneer het wachtwoord wordt ingevoerd, kan CrashStealer toegang krijgen tot uiteenlopende persoonlijke gegevens. Vooral wachtwoordmanagers, cryptowallets en andere vertrouwelijke informatie op het apparaat lopen gevaar. Volgens Jamf werden de eerste samples begin mei gevolgd en waren er begin juli al aanwijzingen dat de malware bij echte aanvallen werd ingezet.

CrashStealer werd verspreid via een schijfkopie met de naam Werkbit Setup. Daarin stond de app Werkbit.app, met een uitvoerbaar bestand dat veltod heette. De aanpak was extra gevaarlijk omdat de DMG en de app aanvankelijk een geldige Apple Developer ID-handtekening en notarisatie hadden, waardoor Gatekeeper ze bij de eerste start doorliet.

Volgens Macworld heeft Apple de ontwikkelaarsreferenties inmiddels ingetrokken, zodat Gatekeeper deze versie van de dreiging zou moeten herkennen. Toch blijft voorzichtigheid nodig: aanvallers kunnen de verpakking, handtekeningen en bestandsnamen wijzigen terwijl de aanvalsmethode hetzelfde blijft.

Het belangrijkste advies verandert niet — download apps alleen uit de Mac App Store of van officiële websites van betrouwbare ontwikkelaars. Ook onverwachte crashrapporten en wachtwoordverzoeken verdienen argwaan, vooral wanneer een venster beweert dat ‘Systeeminstellingen’ wijzigingen wil aanbrengen.