Mac用户需要警惕一种名为CrashStealer的macOS恶意软件,据Jamf Threat Labs报告。该恶意软件会伪装成苹果的崩溃报告框架,目的是窃取各种敏感信息。
CrashStealer会收集浏览器数据、密码管理器数据、加密货币钱包扩展程序以及钥匙串数据,Jamf首次发现它在名为Werkbit的假冒苹果公证应用中传播。由于获得了公证,该恶意软件不会被macOS安全系统中的Gatekeeper阻止。
它针对超过80种加密货币钱包扩展程序,以及1Password、LastPass和Dashlane等14种密码管理器。它还会搜索Documents和Downloads文件夹,寻找值得收集的信息。
该应用看起来很合法,并使用典型的macOS网络下载软件安装流程,具体过程详见Jamf网站。通过Werkbit下载了一个假冒的CrashReporter.app,旨在冒充苹果自己的崩溃报告工具。用户点击该应用时,很可能会将其视为合法的苹果实用程序。
它会请求“用于系统管理”的完全磁盘访问权限,并使用看起来像真实macOS授权请求的原生密码提示。输入的密码用于访问登录钥匙串。收集的数据通过苹果的CommonCrypto使用AES–256-GCM加密,然后发送到攻击者的IP地址。
Jamf表示,CrashStealer的实现方式“显示出真正的用心”,其隐藏步骤使其区别于标准的窃密软件。该恶意软件于5月首次被发现,7月被发现正在活跃使用,随后报告给了苹果。
苹果已撤销Werkbit应用的签名凭证,因此Jamf所述的具体攻击途径已被禁用,但该恶意软件可能再次出现。原始版本安装时需要输入PIN码,这表明它是针对特定人群的。
苹果的公证系统旨在保护Mac用户免受恶意软件侵害,苹果表示公证应用会检查恶意组件。CrashStealer清楚地表明,存在绕过苹果安全流程隐藏恶意软件的方法。
下载软件时,用户可以通过意识到苹果的崩溃报告工具是内置的来保护自己免受CrashStealer侵害。任何使用CrashReporter的下载都是危险信号,刚启动就要求系统密码的应用也是如此。






