Новая угроза для macOS умеет прятаться за доверенной подписью и уже после запуска собирает пароли, данные браузеров, кошельков и связки ключей. Исследователи Jamf Threat Labs пишут, что CrashStealer использует подписанный и проверенный установщик, поэтому проходит через встроенные проверки системы без лишнего шума.
Почему эта атака опасна
История CrashStealer важна не только для владельцев Mac. Она показывает, как злоумышленники всё чаще делают ставку не на грубую подделку, а на «законную» обёртку: установщик с подписью, аккуратную загрузочную цепочку и сбор данных уже после запуска.
В этот раз вредонос написан на C++ и работает не как примитивный скрипт, а как довольно собранный инструмент. Он проверяет пароль жертвы локально, а потом переходит к сбору данных из браузеров, менеджеров паролей, криптокошельков и связки ключей.
Для обычного пользователя это означает простую вещь: внешний вид установщика больше не гарантирует безопасность. Если приложение просит открыть его вручную, ввести пароль или пройти странную установку с образа диска, к нему надо относиться так же осторожно, как к письму с вложением.
Как работает CrashStealer
По описанию исследователей, цепочка заражения выглядит многоступенчатой. Сначала жертве показывают образ диска с приложением Werkbit.app, потом запускается исполнительный файл, который тянет дополнительный файл и shell-скрипт, а уже после этого загружает следующий этап в каталог /tmp.
Дальше вредонос закрепляется в системе как LaunchAgent, сопротивляется анализу и выводит окно с запросом пароля. Важная деталь — пароль он проверяет локально, а затем использует его для разблокировки связки ключей, то есть пытается добраться до самых чувствительных хранилищ macOS.
Затем CrashStealer собирает данные из браузеров семейства Chromium, около 80 расширений для криптокошельков, 14 менеджеров паролей, а также файлы из папок Documents и Downloads. Всё это упаковывается в ZIP-архив и уходит на сервер злоумышленников.
Что делает эту схему особенно неприятной
У атаки сразу несколько слоёв защиты от выявления. Исследователи отмечают AES-GCM для шифрования собранных данных, обфускацию, шифрованные строки и приёмы против отладки. Для вредоноса это не украшения, а способ выиграть время и усложнить разбор.
Есть и ещё один момент: операторов явно интересует не один компьютер, а более широкая кампания. Jamf связывает CrashStealer с общей инфраструктурой и другими доменами, что похоже на долгую операцию, а не на разовый запуск вредоносного файла.
Похожий принцип уже встречался в других инцидентах, где атакующие сначала прятали угрозу в привычную оболочку, а потом выкачивали данные без лишних предупреждений. Подобные случаи мы уже разбирали в материале про ChocoPoC и фальшивые PoC-эксплоиты и в разборе утечек через TrojPix и изолированные компьютеры.
Кому что делать в первую очередь
Если вы обычный пользователь Mac, главный вывод простой: не устанавливайте софт из сомнительных образов диска и не вводите пароль в окнах, смысл которых вам не ясен. Особо внимательно стоит относиться к сценариям, где приложение просит «доверить» себя системе или открыть его вручную после скачивания.
Если вы храните в браузере пароли, используете менеджер паролей или держите криптокошелёк на том же компьютере, риск выше. В таком случае имеет смысл разделять повседневную работу, финансовые операции и хранение чувствительных данных хотя бы на уровне учётных записей и устройств.
Если вы часто работаете из кафе, отелей и других общих сетей, полезно добавить ещё один слой защиты. Для этого можно использовать инструмент для частных подключений в чужой сети — особенно когда вы входите в банк, корпоративную почту или админку из публичного Wi‑Fi.
Что стоит сделать сейчас
- Проверить, не храните ли вы в браузере лишние пароли и платёжные данные.
- Включить отдельный менеджер паролей и убрать сохранение секретов в браузере там, где это возможно.
- Осмотреть список LaunchAgent и автозагрузки на Mac, если вы замечали странное поведение системы.
- Не запускать образ диска и установщики, если их прислали по почте, мессенджеру или через случайную ссылку.
- Обновить macOS и браузеры до последних версий.
- Проверить, не вводите ли вы пароль в окнах, которые появляются сразу после установки «полезной» программы.
- Для работы из общих сетей использовать дополнительные средства защиты соединения и не входить в важные сервисы через сомнительный Wi‑Fi.
- Если есть признаки заражения, сменить пароли с чистого устройства и проверить активные сессии в важных сервисах.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.