Danny Weber
Infostealer dla macOS wykorzystywał notaryzowaną aplikację, by ominąć Gatekeeper i kraść dane z menedżerów haseł, portfeli kryptowalut oraz przeglądarek.
Badacze Jamf Threat Labs odkryli nowe złośliwe oprogramowanie dla macOS, które podszywa się pod systemowy raport o awarii aplikacji. Malware otrzymał nazwę CrashStealer i wyświetla fałszywe okno błędu, aby wyłudzić hasło do Maca.
Po wpisaniu hasła CrashStealer może uzyskać dostęp do wielu danych osobowych. Zagrożone są między innymi menedżery haseł, portfele kryptowalutowe i inne poufne informacje przechowywane na urządzeniu. Według Jamf pierwsze próbki śledzono od początku maja, a na początku lipca pojawiły się już oznaki użycia malware w rzeczywistych atakach.
CrashStealer był rozpowszechniany w obrazie dysku o nazwie Werkbit Setup. Wewnątrz znajdowała się aplikacja Werkbit.app, a jej plik wykonywalny nazywał się veltod. Schemat był szczególnie niebezpieczny, ponieważ na wczesnym etapie DMG i aplikacja miały ważny podpis Apple Developer ID oraz notaryzację, dzięki czemu Gatekeeper przepuszczał je przy pierwszym uruchomieniu.
Według Macworld Apple wycofało już dane uwierzytelniające dewelopera, więc Gatekeeper powinien rozpoznawać tę wersję zagrożenia. Nadal warto jednak zachować ostrożność: napastnicy mogą zmieniać opakowanie, podpisy i nazwy plików, zachowując ten sam mechanizm ataku.
Najważniejsze zalecenie pozostaje bez zmian — aplikacje należy pobierać wyłącznie z Mac App Store lub oficjalnych stron zaufanych deweloperów. Podejrzane powinny być także niespodziewane raporty awarii i prośby o hasło, zwłaszcza gdy okno twierdzi, że „Ustawienia systemowe” chcą wprowadzić zmiany.
© RusPhotoBank