Нова шкідлива програма CrashStealer, що поширюється на macOS, викрадає паролі користувачів та інформацію з криптогаманців, маскуючись під легітимний інструмент операційної системи. Дослідники з Jamf Threat Labs виявили, що цей зловмисний код видає себе за “Crash Reporter” – вбудований в macOS інструмент для діагностики збоїв. ### Як поширюється шкідливе ПЗ Шкідливу програму вперше зафіксували у фальшивому додатку Werkbit, який, на жаль, пройшов процес нотифікації Apple. Ця автоматична перевірка безпеки дозволила Werkbit обійти вбудовані механізми захисту macOS, що значно полегшило його розповсюдження. ### Що викрадає CrashStealer Після встановлення на пристрій, CrashStealer починає збирати конфіденційні дані користувача. Його цілями є: * Інформація, збережена у веб-браузерах. * Дані з менеджерів паролів. * Інформація з криптогаманців. * Дані з системної програми Keychain, де зберігаються облікові дані та ключі. Крім того, програма сканує папки “Documents” та “Downloads” на наявність цінних для зловмисників файлів. За даними Jamf, CrashStealer націлений на понад 80 розширень для криптогаманців та 14 популярних менеджерів паролів, включаючи 1Password, LastPass та Dashlane. ### Механізм роботи та обхід захисту Особливої небезпеки додає той факт, що CrashStealer використовує стандартні елементи інтерфейсу macOS. Після запуску програма запитує повний доступ до диска, видаючи себе за системний інструмент для адміністрування. Згодом вона імітує вікно введення системного пароля. Отримавши його, зловмисники отримують доступ до Keychain, шифрують зібрані дані за допомогою алгоритму AES-256-GCM і відправляють їх на віддалені сервери. Дослідники відзначають, що CrashStealer значно краще приховує свою активність порівняно з більшістю аналогічних програм-викрадачів даних. Хоча Apple вже відкликала сертифікат підпису Werkbit після повідомлення від Jamf у травні, експерти попереджають про можливе повернення зловмисника в інших модифікаціях. ### Рекомендації користувачам Фахівці нагадують, що “Crash Reporter” є вбудованим компонентом macOS. Якщо будь-яка програма пропонує завантажити цей інструмент або одразу після запуску запитує введення системного пароля, це може бути ознакою спроби зараження вашого пристрою.
Вердикт ІТ-Блогу: Користувачам macOS слід бути пильними та не завантажувати підозрілі додатки, а також звертати увагу на запити введення пароля, особливо якщо вони надходять від невідомих програм.
За матеріалами: mezha.ua
