Użytkownicy komputerów Mac powinni zachować szczególną czujność w związku z wykryciem nowego, zaawansowanego złośliwego oprogramowania o nazwie CrashStealer. Jak ostrzegają eksperci z Jamf Threat Labs, zagrożenie to zostało zaprojektowane w celu wyłudzania poufnych danych, w tym haseł, informacji z przeglądarek oraz zawartości portfeli kryptowalutowych. Co niepokojące, malware skutecznie omija wbudowane zabezpieczenia systemu macOS, podszywając się pod oficjalne narzędzia Apple.
Mechanizm działania i kamuflaż
Zagrożenie zostało po raz pierwszy zidentyfikowane w maju, a w lipcu zaobserwowano jego aktywną dystrybucję. Głównym nośnikiem złośliwego kodu była aplikacja o nazwie Werkbit, która posiadała oficjalną notaryzację Apple. Dzięki temu procesowi weryfikacji, system bezpieczeństwa Gatekeeper nie blokował instalacji oprogramowania, uznając je za bezpieczne. Po uruchomieniu, Werkbit pobierał plik CrashReporter.app, który wizualnie imitował systemowe narzędzie Apple służące do raportowania awarii. Użytkownik, widząc znany interfejs, mógł łatwo nabrać przekonania, że ma do czynienia z autentycznym komponentem systemu operacyjnego.
W trakcie działania, CrashStealer prosi o pełny dostęp do dysku, argumentując to potrzebami administracji systemowej. Wykorzystuje przy tym natywne okno dialogowe macOS, które łudząco przypomina standardowe prośby o autoryzację. Wprowadzone w tym momencie hasło użytkownika pozwala przestępcom na uzyskanie dostępu do pęku kluczy (Keychain), co otwiera drogę do przejęcia zapisanych haseł. Zebrane dane są szyfrowane za pomocą standardu AES-256-GCM i przesyłane bezpośrednio na serwer atakującego.
Co dokładnie jest zagrożone?
CrashStealer wykazuje się dużą skutecznością w przeszukiwaniu zasobów komputera, w tym folderów Dokumenty oraz Pobrane. Jego celem jest szeroki wachlarz danych, które mogą posłużyć do kradzieży tożsamości lub środków finansowych:
Reakcja Apple i jak chronić się przed zagrożeniem
Po zgłoszeniu incydentu przez badaczy z Jamf, firma Apple unieważniła certyfikaty podpisujące aplikację Werkbit, co skutecznie zablokowało ten konkretny wektor ataku. Eksperci podkreślają jednak, że wysoki poziom zaawansowania CrashStealer – w tym sposób ukrywania złośliwych procesów – sugeruje, że podobne zagrożenia mogą pojawić się w przyszłości. Warto zauważyć, że pierwotna wersja malware wymagała podania kodu PIN podczas instalacji, co wskazuje na to, że ataki mogły być wymierzone w konkretne, wyselekcjonowane cele.
Implementacja CrashStealer wykazuje dużą dbałość o szczegóły, a zastosowane techniki maskowania odróżniają go od standardowych narzędzi typu infostealer.
Aby zminimalizować ryzyko, użytkownicy powinni pamiętać, że systemowe narzędzie do raportowania awarii w macOS jest wbudowane w system i nigdy nie wymaga samodzielnego pobierania. Każda aplikacja, która próbuje podszywać się pod CrashReporter lub prosi o hasło systemowe bezpośrednio po uruchomieniu, powinna wzbudzić natychmiastowy niepokój. Warto również zachować ostrożność przy instalacji oprogramowania pochodzącego z nieoficjalnych źródeł, nawet jeśli posiada ono certyfikat notaryzacji.

