CrashStealerはAppleの公式機能を装い、Macユーザーに注意を促す
ジャカルタ - マックコンピュータユーザーは、サイバーセキュリティ研究者がAppleの公式ユーティリティを装ったCrashStealerという新しいマルウェアを発見した後、警戒を高めるよう求められています。マルウェアは、パスワード、ブラウザデータ、暗号資産ウォレットなど、さまざまな機密データを盗むように設計されています。
この発見は、Werkbitという偽のアプリケーションを介してCrashStealerが積極的に広がっていることを発見したJamf Threat Labsによって明らかにされました。
この脅威をさらに危険にするのは、マルウェアがAppleの署名セキュリティメカニズムを逃したため、通常、危険なアプリケーションの実行を防ぐmacOSの組み込みセキュリティシステムであるGatekeeperによって直接ブロックされなかったことです。
CrashStealerは、macOSの組み込みクラッシュレポートシステムに似ているように見えるアプリケーションであるCrashReporter.appを装って動作します。その外観は非常に説得力があるので、多くのユーザーはアプリケーションがAppleの公式コンポーネントであると考える可能性があります。実際、元のクラッシュレポーター機能はmacOSの一部であり、個別にダウンロードする必要はありません。
実行されると、偽のアプリケーションはシステム管理の理由でフルディスクアクセス権を要求します。その後、マルウェアはパスワード要求ダイアログボックスを表示し、その外観は公式のmacOS認証ウィンドウとほぼ同じです。
管理者パスワードを入力すると、CrashStealerはすぐにそれを使用して、macOSがさまざまな重要な資格情報を保存するログインキーチェーンにアクセスします。
パスワードと暗号ウォレットの盗難
Jamf Threat Labsによると、CrashStealerは、次のさまざまな種類の機密データを収集するように設計されています。
ブラウザデータ、
Keychain ログイン情報
パスワードマネージャのデータ、
ドキュメントフォルダ内のファイル、
ダウンロードフォルダ内のファイル、
暗号通貨ウォレットの拡張。
このマルウェアは、80以上の暗号ウォレット拡張機能と、少なくとも14のパスワードマネージャアプリケーションをターゲットにすることができます。
標的となったパスワードマネージャには、次のものがあります。
1Password
LastPass,
Dashlane。
収集されたすべてのデータは、AppleのCommonCryptoフレームワークを介してAES-256-GCMアルゴリズムを使用して暗号化され、攻撃者のサーバーに送信されます。
Appleのセキュリティシステムから抜け出す
最も懸念されることの1つは、CrashStealerがAppleの公証プロセスを迂回する能力です。公証は、macOS上で実行される前にアプリケーションに有害なコードが含まれているかどうかを確認するためにAppleが使用するセキュリティメカニズムです。
しかし、この場合、Werkbitアプリケーションは公証されたステータスを取得し、Gatekeeperはそれを安全なアプリケーションと見なしました。
Jamfは、CrashStealerの実装は、その活動を非常に洗練された方法で偽装できるため、一般的なデータ窃盗マルウェアよりも高いレベルの洗練度を示していると評価しています。
Appleは攻撃経路を閉鎖しました
Jamfは2026年5月にCrashStealerを初めて発見し、7月にマルウェアが再びアクティブに使用されていると検出しました。
報告を受けたAppleは、Werkbitアプリケーションの署名資格情報を削除し、研究者が発見した配布経路は現在無効になっています。
しかし、研究者は、加害者が将来的に同様のマルウェアを拡散するために他の方法を使用する可能性があることを警告しています。
興味深いことに、CrashStealerの初期バージョンは特別なPINを使用してのみインストールできます。これは、このマルウェアが大量に広がるのではなく、特定の個人やグループを標的にした攻撃で使用される可能性があることを示しています。
自分を守る方法
Jamfは、Macユーザーにインターネットからアプリケーションをダウンロードする際により注意するよう促しています。
いくつかの推奨されるステップは次のとおりです。
CrashReporterを主張するアプリケーションをダウンロードしないでください。この機能はmacOSに組み込まれているためです。
最初に開いたときにすぐに管理者パスワードを要求するアプリケーションに注意してください。
信頼できるソースからのみアプリケーションをダウンロードします。
最新のセキュリティ保護を入手するには、macOSを最新バージョンに常に更新してください。
CrashStealerのケースは、現代のセキュリティシステムが常にすべての脅威を停止できるわけではないことを示しています。ますます高度な偽装技術により、ユーザーは依然として最も重要な防衛層になります。したがって、インストール前にアプリケーションのソースを確認し、アクセス権を無差別に許可したり、管理者パスワードを入力したりしないことは、重要なデータやデジタル資産の盗難を防ぐことができる簡単なステップです。