CrashStealer pe macOS: Un raport fals de blocare cere parola Mac-ului

CrashStealer fură parolele de Mac printr-un raport fals de blocare
© RusPhotoBank

Cercetătorii Jamf Threat Labs au descoperit un nou malware pentru macOS care se prezintă drept un raport de sistem despre blocarea unei aplicații. Numit CrashStealer, acesta afișează o fereastră falsă de eroare pentru a obține parola Mac-ului.

Dacă parola este introdusă, CrashStealer poate accesa o gamă largă de date personale. Sunt vizate în special managerii de parole, portofelele de criptomonede și alte informații sensibile stocate pe dispozitiv. Potrivit Jamf, primele mostre au fost urmărite la începutul lunii mai, iar la începutul lui iulie existau deja indicii că malware-ul era folosit în atacuri reale.

CrashStealer era distribuit printr-o imagine de disc numită Werkbit Setup. Aceasta conținea aplicația Werkbit.app, al cărei fișier executabil se numea veltod. Metoda era deosebit de periculoasă deoarece, într-o etapă inițială, DMG-ul și aplicația aveau o semnătură Apple Developer ID validă și notarizare, astfel că Gatekeeper le permitea să ruleze la prima lansare.

Potrivit Macworld, Apple a revocat deja acreditările dezvoltatorului, iar Gatekeeper ar trebui să recunoască această versiune a amenințării. Prudența rămâne însă necesară: atacatorii pot schimba pachetul, semnăturile și numele fișierelor, păstrând același mecanism de atac.

Recomandarea principală rămâne aceeași — aplicațiile trebuie descărcate numai din Mac App Store sau de pe site-urile oficiale ale dezvoltatorilor de încredere. Rapoartele de blocare și solicitările de parolă neașteptate ar trebui privite cu suspiciune, mai ales dacă o fereastră susține că „Configurări sistem” dorește să facă modificări.