Специалисты по кибербезопасности обнаружили новый вредоносный программный инструмент для операционной системы macOS, который маскируется под официальное средство отчётности о сбоях от Apple. Эта программа, названная исследователями Jamf «CrashStealer», способна похищать конфиденциальные данные пользователей.

Распространяется шпионское программное обеспечение через фальшивый вебсайт под названием «Werkbit Setup». Этот ресурс, зарегистрированный недавно, имитирует легитимный источник программного обеспечения, чтобы загрузить программу на компьютеры пользователей.
Несмотря на меры безопасности Apple, такие как Gatekeeper, программа успешно обходит эти защитные механизмы. Это становится возможным благодаря использованию подписанного и нотаризованного установочного файла, что уменьшает подозрения у пользователей.
После установки, шпионская программа создаёт фальшивое окно запроса пароля, имитирующее системный диалог macOS. Это позволяет программе получить доступ к Keychain, хранилищу паролей и другим секретным данным пользователя.
CrashStealer предназначен для сбора шифровальных ключей, учётных данных для входа, файлов cookie из веббраузеров, а также информации из более чем 80 криптокошельков и 14 менеджеров паролей.
Кроме того, программа может похищать локально сохранённые файлы, чем расширяет объём данных, которые могут быть скомпрометированы. Этот механизм доступа к данным пользователей представляет собой значительную угрозу безопасности.
Исследователи отмечают, что CrashStealer демонстрирует схожесть с другими известными программами-шпионами, такими как AMOS, однако имеет уникальные особенности. В частности, это касается собственного механизма шифрования данных на стороне клиента и реализации на нативном языке C++.
Эти отличия делают CrashStealer потенциально более опасным, поскольку он использует инновационные методы для сокрытия своей деятельности и похищения данных.


