В macOS обнаружили инфостилер CrashStealer, замаскированный под программа Apple

2 мин
В macOS обнаружили инфостилер CrashStealer, замаскированный под программа Apple

Исследователи Jamf Threat Labs обнаружили инфонстилер CrashStealer для macOS. Он маскируется под системное программа macOS и похищает пароли, файлы, связки ключей, данные браузеров и криптокошельков.

В первый раз CrashStealer заметили на VirusTotal в мае 2026 года, а уже в начале июля исследователи нашли вредонос на реальных устройствах. Заражение началось с образа диска Werkbit Setup. Приложение было подписано действующим сертификатом и прошло автоматическую проверку Apple, поэтому Gatekeeper не блокировал его при первом запуске.

После установки Werkbit загружал с сервера дополнительные компоненты и запускал в фоновом режиме приложение CrashReporter. Оно маскировалось под системное приложение Apple, копируя название, идентификатор системного компонента и иконку.

Затем программа открывало окно, похожее на системное, и требовало ввести пароль от учётной записи. Инфостилер проверял его штатными средствами macOS и повторял запрос до тех пор, пока пользователь не вводить правильную комбинацию. Получив пароль, вредонос получал доступ к связке ключей, получал из неё необходимые данные и запрашивал доступ к диску.

Вот что делал CrashStealer на устройстве пользователя:

  • собирал данных из Chrome, Brave, Edge, Opera, Vivaldi и Firefox; 

  • изучал данные браузерных расширений;

  • сканировал популярные менеджеры паролей, в том числе 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC и NordPass;

  • пытался получить доступ к криптокошелькам (в коде нашли приблизительно 80 упоминаний распространённых кошельков);

  • просматривал папки «Документы» и «Загрузки» и отбирал потенциально ценные файлы;

  • сохранял собранные информация в скрытой папке ~/.cache/com.apple.crashreporter/, шифровал с помощью AES-256-GCM через системную библиотеку Apple CommonCrypto и упаковывала в ZIP-архивы;

  • полученные данные отправлял на сервер с помощью библиотеки libcurl, а IP-адрес был прописан прямо в конфигурации приложения.

Эксперты Jamf Threat Labs передали Apple информацию о сертификате разработчика, которым был подписан установщик Werkbit. Организация его отозвала, следовательно система защиты macOS теперь блокирует известную версию приложения. Одновременно отзыв сертификата не устраняет вредонос. Его авторы могут получить новую подпись, переименовать программа или встроить стилер в иной установщик.

Читают сейчас

Вышла стабильная релиз Android Studio Quail 2: поиск утечек памяти и инструменты для анализа сбоев

29 минут назад

Вышла стабильная релиз Android Studio Quail 2: поиск утечек памяти и инструменты для анализа сбоев

Google выпустила стабильную версию Android Studio Quail 2. Главными изменениями стали встроенный поиск утечек памяти, новые инструменты для анализа сбоев приложения и функция параллельно запускать нес

VK: сервисы VK и МАХ работают в нормальном режиме, установка и апдейт приложений доступны в RuStore и других маркетах

1 час назад

VK: сервисы VK и МАХ работают в нормальном режиме, установка и апдейт приложений доступны в RuStore и других маркетах

В VK сообщили, что все приложения холдинга VK, в том числе MAX, «ВКонтакте», «Одноклассники», «Дзен», «VK Видео», «VK Музыка», сервисы Mail и другие работают в обычном режиме без ограничений. Читать д

1 час назад

Moonshot.ai выпустили Kimi K3

Теперь - с контекстом на миллион токенов. Бенчмарков и официальных анонсов пока нет, но в их харнессе уже доступна. Читать далее

1 час назад

Исходный исходник Suno раскрыл использование 2 млн треков с YouTube Music и сотен тысяч подкастов для обучения

В результате утечки исходного кода музыкального ИИ‑сервиса Suno стали известны подробности о данных, использовавшихся для обучения его моделей. Как говорит 404 Media, хакер, получивший доступ к внутре

США рассматривают введение залога в $100 тысяч для некоторых соискателей грин‑карт

2 часа назад

США рассматривают введение залога в $100 тысяч для некоторых соискателей грин‑карт

Администрация президента США Дональда Трампа рассматривает функция введения финансового залога для части иностранцев, которые подают заявления на получение грин‑карты за пределами страны. По данным Th