Софт и приложения

Вирус CrashStealer для Mac маскировался под сервис Apple и крал пароли с кошельками

Ноутбук MacBook с берегом озера и горами, рабочий стол с книгой и растением

Apple отозвала подпись у приложения Werkbit после того, как исследователи связали его с вредоносом CrashStealer для macOS. Он маскировался под штатный механизм отправки отчётов о сбоях, просил системный пароль и доступ к диску, а потом вытаскивал данные из браузеров, менеджеров паролей и криптокошельков. Это уже не история из песочницы: Apple подтвердила, что вредонос использовали в реальных атаках.

В ходе атаки CrashStealer собирал информацию из браузеров, 14 менеджеров паролей и более чем 80 расширений криптокошельков. В списке целей — 1Password, LastPass и Dashlane. Ещё он заглядывал в папки «Загрузки» и «Документы»: там у людей часто лежат резервные коды, сид-фразы, сканы документов и экспортированные базы.

Схема заражения была простой и неприятной. Werkbit проходил проверку Apple и был подписан, так что в системе выглядел вполне легитимно. После запуска он просил пароль администратора и полный доступ к диску. А дальше уже получал связку ключей macOS, шифровал добытые данные по AES-256-GCM и отправлял их на сервер злоумышленников.

Для Mac это не первый случай, когда инфостилер прячется за «официальным» видом. В 2023 и 2024 годах исследователи уже фиксировали кампании Atomic macOS Stealer и Poseidon, которые тоже охотились за паролями, cookie-файлами и криптовалютными кошельками. Но история с CrashStealer неприятнее из-за одобрения приложения Apple: для части пользователей подпись разработчика до сих пор выглядит почти как гарантия безопасности, хотя на деле это только один из фильтров.

Apple уже отозвала сертификат Werkbit, и macOS должна блокировать новые установки этого конкретного приложения. Но сама схема никуда не делась. Операторы инфостилеров регулярно пересобирают дропперы, меняют название и снова пытаются пройти нотарификацию. На фоне роста крипторынка интерес к таким атакам только усиливается: по данным Chainalysis, объём украденных криптоактивов за последние годы стабильно измеряется миллиардами долларов, а доступ к браузеру и кошельку остаётся самым коротким путём к деньгам пользователя.

Практический вывод для владельцев Mac довольно скучный, но от этого не менее полезный: осторожнее с приложениями вне Mac App Store, особенно если они просят пароль администратора и полный доступ к диску без внятной причины. Если кампания с CrashStealer продолжится под новым именем, первые индикаторы всплывут у антивирусных компаний и в обновлениях XProtect в ближайшие недели, а не месяцы.

Источник: Iphones
Марта Баринова
Редактор новостного отдела, специализирующийся на аналитике программного обеспечения, стриминговых сервисов и изменениях в политике глобальных технологических платформ. В своих материалах Марта подробно освещает обновления Windows, функциональные изменения в Spotify и Google, а также исследует вопросы антимонопольного регулирования магазинов приложений. Автор более 140 публикаций, помогающих пользователям ориентироваться в быстро меняющемся ландшафте цифровых сервисов.

    Leave a reply