Нове шкідливе програмне забезпечення для macOS, відоме як CrashStealer, було виявлено дослідниками безпеки. Ця програма маскується під легітимний інструмент Apple і призначена для викрадення конфіденційних даних користувачів, включаючи паролі та інформацію з криптогаманців. ## Як працює CrashStealer Згідно зі звітом Jamf Threat Labs, CrashStealer видає себе за “Crash Reporter” — вбудований в macOS інструмент, який використовується для надсилання звітів про збої програм до Apple. Шкідлива програма вперше була виявлена у складі фальшивого застосунку Werkbit. Цікаво, що Werkbit пройшов процес нотарізації Apple, що є автоматизованою перевіркою безпеки програм, і таким чином зміг обійти вбудовані захисні механізми операційної системи. Після встановлення CrashStealer починає активно збирати конфіденційну інформацію. Його цілями є: * Дані з веб-браузерів. * Інформація з менеджерів паролів. * Дані з криптогаманців. * Інформація, що зберігається у зв’язці ключів macOS (Keychain). Крім того, програма сканує папки “Documents” та “Downloads” на наявність цінних для зловмисників документів. За даними Jamf, CrashStealer націлений на понад 80 розширень для криптогаманців та 14 популярних менеджерів паролів, серед яких 1Password, LastPass і Dashlane. ## Використання соціальної інженерії Особливу небезпеку становить те, як CrashStealer використовує елементи інтерфейсу macOS для обману користувачів. Після запуску шкідлива програма запитує повний доступ до диска, прикриваючись необхідністю “системного адміністрування”. Далі вона відображає вікно введення пароля, яке виглядає як справжнє системне вікно. Після отримання пароля програма отримує доступ до Keychain, шифрує зібрані дані за допомогою алгоритму AES-256-GCM і відправляє їх на сервери зловмисників. Дослідники зазначають, що CrashStealer демонструє вищий рівень прихованості своєї діяльності порівняно з багатьма аналогічними програмами. Хоча Jamf повідомила про виявлення цієї загрози Apple у травні, і компанія вже відкликала сертифікат підпису Werkbit, експерти попереджають, що CrashStealer може з’явитися знову у нових варіаціях.
## Рекомендації користувачам Фахівці наголошують на важливості пам’ятати, що “Crash Reporter” є вбудованим інструментом macOS. Якщо будь-яка програма пропонує вам завантажити цей інструмент або негайно після запуску просить ввести системний пароль, це може бути ознакою спроби зараження вашого комп’ютера.
Вердикт ІТ-Блогу: Користувачам macOS варто бути надзвичайно уважними при завантаженні програм зі сторонніх джерел та звертати увагу на запити щодо системних дозволів та введення паролів.
Подробиці можна знайти на сайті: mezha.ua
