Forskare på Jamf Threat Labs har upptäckt ny skadlig kod för macOS som utger sig för att vara en systemrapport om en appkrasch. Programmet kallas CrashStealer och visar ett falskt kraschfönster för att lura till sig Mac-lösenordet.
Om lösenordet skrivs in kan CrashStealer få åtkomst till en stor mängd personliga uppgifter. Bland målen finns lösenordshanterare, kryptoplånböcker och annan känslig information som lagras på enheten. Enligt Jamf började de första exemplaren spåras i början av maj, och i början av juli fanns redan tecken på användning i verkliga attacker.
CrashStealer spreds via en skivavbild med namnet Werkbit Setup. Den innehöll appen Werkbit.app, vars körbara fil hette veltod. Upplägget var särskilt farligt eftersom DMG-filen och appen inledningsvis hade en giltig Apple Developer ID-signatur och notarisering, vilket gjorde att Gatekeeper släppte igenom dem vid första starten.
Enligt Macworld har Apple redan återkallat utvecklaruppgifterna, så Gatekeeper bör kunna identifiera den här versionen av hotet. Försiktighet behövs ändå: angripare kan ändra paketering, signaturer och filnamn men behålla samma angreppslogik.
Huvudrådet är fortfarande detsamma — hämta appar endast från Mac App Store eller officiella webbplatser från betrodda utvecklare. Oväntade kraschrapporter och lösenordsfrågor bör också väcka misstanke, särskilt om ett fönster påstår att ”Systeminställningar” vill göra ändringar.