CrashStealer 伪装成 Apple 的官方功能,Mac 用户被要求保持警惕

雅加达 - Mac电脑用户被要求提高警惕,因为网络安全研究人员发现了一种名为CrashStealer的新恶意软件,它伪装成Apple的官方实用程序。该恶意软件旨在窃取各种敏感数据,从密码,浏览器数据到加密资产钱包。

Jamf Threat Labs发现,CrashStealer通过名为Werkbit的虚假应用程序积极传播。

由于恶意软件绕过了Apple的公证安全机制,因此它没有立即被Gatekeeper阻止,Gatekeeper是macOS的内置安全系统,通常可以防止运行恶意应用程序。

CrashStealer 伪装成 CrashReporter.app,该应用程序的外观与 macOS 的内置崩溃报告系统非常相似。由于它的外观非常令人信服,许多用户可能会认为该应用程序是 Apple 的官方组件。事实上,原始的崩溃报告器功能已经成为 macOS 的一部分,不需要单独下载。

在运行时,该恶意软件会以系统管理为由请求全盘访问权限。之后,恶意软件显示了一个密码提示对话框,其外观与官方macOS身份验证窗口几乎相同。

如果用户输入管理员密码,CrashStealer会立即使用它来访问钥匙串登录,这是macOS存储各种重要凭据的地方。

从密码到加密钱包

根据Jamf Threat Labs的说法,CrashStealer旨在收集各种类型的敏感数据,包括:

浏览器数据,

从钥匙串登录获取信息

密码管理器数据

文件夹中的文件 文档,

文件在下载文件夹中

加密货币钱包扩展。

该恶意软件能够针对 80 多个加密钱包扩展以及至少 14 个密码管理器应用程序。

目标密码管理器包括:

1Password

LastPass

Dashlane。

所有成功收集的数据都使用AES-256-GCM算法通过Apple的CommonCrypto框架进行加密,然后发送到攻击者的服务器。

逃脱苹果的安全系统

最令人担忧的事情之一是CrashStealer绕过Apple的公证过程的能力。公证是Apple使用的安全机制,用于检查应用程序是否包含恶意代码,然后才允许其在macOS上运行。

然而,在这种情况下,Werkbit应用程序曾获得公证状态,因此Gatekeeper将其视为安全的应用程序。

Jamf认为,CrashStealer的实施表明,它比一般的数据窃贼恶意软件更先进,因为它能够非常整齐地掩盖其活动。

苹果已经关闭了攻击路径

Jamf于2026年5月首次发现CrashStealer,并于7月再次检测到该恶意软件仍在使用。

在收到报告后,Apple 撤销了 Werkbit 应用程序的签名凭据,因此研究人员发现的传播路径现已停用。

然而,研究人员提醒说,攻击者可以在未来使用其他方法来传播类似的恶意软件。

值得注意的是,CrashStealer的早期版本只能使用特殊的PIN安装。这表明该恶意软件可能用于针对特定个人或组织的攻击,而不是大规模传播。

如何保护自己

Jamf敦促Mac用户在从互联网下载应用程序时要多加小心。

建议采取的措施包括:

不要下载声称是CrashReporter的应用程序,因为该功能已在macOS中内置;

当您首次打开应用程序时,请注意立即要求管理员密码的应用程序;

仅从受信任的来源下载应用程序;

始终将 macOS 更新到最新版本,以获得最新的安全保护。

CrashStealer 的案例表明,即使是现代安全系统也无法始终阻止所有威胁。越来越复杂的隐形技术使用户仍然是最重要的防御层。因此,在安装应用程序之前检查其来源,不要随意授予访问权限或输入管理员密码,是防止窃取重要数据和数字资产的简单步骤。