Разное

На Mac нашли вредонос CrashStealer с поддельным отчётом о сбое

На Mac нашли вредонос CrashStealer с поддельным отчётом о сбое
Фото: © RusPhotoBank

Специалисты Jamf Threat Labs обнаружили новую вредоносную программу для macOS, которая маскируется под системный отчёт о сбое приложения. Малварь получила название CrashStealer и использует поддельное окно crash report, чтобы убедить пользователя ввести пароль от Mac.

Если пользователь вводит пароль, вредонос получает доступ к широкому набору личных данных. В зоне риска оказываются менеджеры паролей, криптовалютные кошельки и другая чувствительная информация, хранящаяся на устройстве. По данным Jamf, первые образцы CrashStealer начали отслеживать в мае, а к началу июля уже появились признаки использования вредоноса в реальных атаках.

Распространялся CrashStealer через образ диска с названием Werkbit Setup. Внутри находилось приложение Werkbit.app, а его исполняемый файл назывался veltod. Особенно опасной схему делало то, что на раннем этапе DMG и приложение имели действительную подпись Apple Developer ID и нотариальное заверение, поэтому могли проходить проверки Gatekeeper.

Macworld сообщает, что Apple уже отозвала эти учётные данные разработчика, поэтому Gatekeeper должен распознавать такую версию угрозы. Но пользователям всё равно стоит быть осторожными: злоумышленники могут менять упаковку, подписи и названия файлов, сохраняя саму логику атаки.

Главная рекомендация остаётся прежней — скачивать приложения только из Mac App Store или с сайтов разработчиков, которым вы доверяете. Также стоит внимательно проверять любые неожиданные отчёты о сбое и запросы пароля, особенно если окно утверждает, что «Системные настройки» хотят внести изменения.