На Mac виявили нове шкідливе ПЗ, яке маскується під інструмент Apple і викрадає паролі

На Mac виявили нове шкідливе ПЗ, яке маскується під інструмент Apple і викрадає паролі

Новий шкідливий програмний продукт під назвою CrashStealer, що маскується під легітимний інструмент Apple, становить серйозну загрозу для користувачів Mac, викрадаючи паролі та криптогаманці. Розробники цього шкідливого ПЗ використовують обманні методи, видаючи його за Crash Reporter – стандартний компонент macOS, призначений для надсилання звітів про збої. Ця програма вперше була виявлена у фальшивому додатку Werkbit, який, пройшовши нотаріальну перевірку Apple, зумів оминути вбудовані механізми безпеки операційної системи.

Аналіз загрози CrashStealer

Механізм дії та збір даних

  • Після успішного встановлення CrashStealer розпочинає активний збір конфіденційної інформації користувача.
  • Програма викрадає дані з веб-браузерів, менеджерів паролів, програм для роботи з криптовалютами та системного сховища ключів Keychain.
  • Додатково, шкідливе програмне забезпечення сканує папки Documents та Downloads у пошуках будь-яких файлів, що можуть становити інтерес для зловмисників.

Цільові атаки та обхід захисту

Jamf Threat Labs зазначає, що CrashStealer націлений на понад 80 розширень для криптогаманців та 14 популярних менеджерів паролів, серед яких значаться такі відомі рішення, як 1Password, LastPass та Dashlane.

Особливу небезпеку становить той факт, що CrashStealer вдало імітує стандартні елементи інтерфейсу macOS, що значно ускладнює його виявлення. Після запуску програма запитує повний доступ до диска під приводом “системного адміністрування”, а потім демонструє правдоподібне системне вікно для введення пароля. Отримавши доступ до Keychain, шкідливе ПЗ шифрує викрадені дані за допомогою потужного алгоритму AES-256-GCM перед їхнім переданням на сервер зловмисників.

Реакція Apple та подальші ризики

Дослідники з Jamf відзначають, що CrashStealer демонструє вищий рівень прихованості своєї діяльності порівняно з більшістю сучасних шкідливих програм для викрадення даних. Хоча після виявлення цієї загрози у травні компанія Apple відкликала сертифікат підпису додатку Werkbit, через який поширювався шкідливий код, експерти застерігають, що CrashStealer може повернутися у нових, модифікованих версіях.

Рекомендації щодо безпеки

Як уникнути зараження

  • Фахівці наголошують на важливості пам’ятати, що Crash Reporter є вбудованим інструментом macOS.
  • Якщо система пропонує завантажити цей інструмент або негайно після запуску вимагає введення системного пароля, це може бути ознакою спроби зараження.

Подібні кіберзагрози підкреслюють необхідність постійного вдосконалення заходів безпеки та обізнаності користувачів щодо нових видів шкідливого програмного забезпечення.