Forskere hos Jamf Threat Labs har oppdaget ny skadevare for macOS som utgir seg for å være en systemrapport om en appkrasj. Skadevaren har fått navnet CrashStealer og viser et falskt krasjvindu for å lure til seg passordet til Mac-en.
Hvis passordet skrives inn, kan CrashStealer få tilgang til en lang rekke personopplysninger. Blant målene er passordbehandlere, kryptolommebøker og annen sensitiv informasjon som ligger på enheten. Ifølge Jamf ble de første eksemplarene sporet tidlig i mai, og tidlig i juli fantes det allerede tegn på bruk i reelle angrep.
CrashStealer ble spredt gjennom en diskavbildning med navnet Werkbit Setup. Den inneholdt appen Werkbit.app, mens den kjørbare filen het veltod. Opplegget var ekstra farlig fordi DMG-filen og appen i starten hadde en gyldig Apple Developer ID-signatur og notarisering, slik at Gatekeeper slapp dem gjennom ved første oppstart.
Ifølge Macworld har Apple allerede tilbakekalt utviklerlegitimasjonen, så Gatekeeper bør gjenkjenne denne versjonen av trusselen. Det er likevel grunn til å være forsiktig: Angripere kan endre pakking, signaturer og filnavn uten å endre selve angrepsmetoden.
Hovedrådet er fortsatt det samme — last bare ned apper fra Mac App Store eller offisielle nettsteder til pålitelige utviklere. Uventede krasjrapporter og passordforespørsler bør også vekke mistanke, særlig hvis et vindu hevder at «Systeminnstillinger» vil gjøre endringer.