На Mac обнаружили опасный вирус CrashStealer, который маскируется под системную утилиту Apple
Специалисты Jamf Threat Labs обнаружили новое вредоносное ПО для macOS под названием CrashStealer, которое выдает себя за встроенную систему отправки отчетов об ошибках Apple. По данным исследователей, вирус способен незаметно похищать конфиденциальную информацию пользователя, включая пароли, данные браузеров и криптовалютных кошельков.
Информация о новой угрозе является официальной и основана на исследовании Jamf Threat Labs. После получения отчета Apple уже приняла меры и отозвала цифровую подпись приложения, через которое распространялось вредоносное ПО. Однако специалисты предупреждают, что злоумышленники могут использовать аналогичные схемы повторно.
Впервые вредоносную программу обнаружили в мае, а в июле исследователи зафиксировали ее активное использование. CrashStealer распространялся через приложение Werkbit, которое имело официальную нотариальную подпись Apple. Благодаря этому macOS не блокировала установку через механизм безопасности Gatekeeper, поскольку программа выглядела доверенной.
После установки на компьютер загружалось фальшивое приложение CrashReporter.app, визуально практически неотличимое от встроенной системной утилиты Apple. Пользователь мог решить, что перед ним обычный компонент macOS.
При запуске программа запрашивала полный доступ к диску якобы «для администрирования системы», а затем отображала стандартное окно ввода пароля macOS. Введенный пароль использовался для получения доступа к системной связке ключей (Keychain), где могут храниться пароли, сертификаты и другие конфиденциальные данные.
Похищенная информация шифровалась с использованием алгоритма AES-256-GCM через встроенную библиотеку Apple CommonCrypto и передавалась на сервер злоумышленников.
CrashStealer ориентирован на максимально
Читать на ilenta.com

