CrashStealer 伪装成 Apple 的官方功能,Mac 用户被要求保持警惕
雅加达 - Mac电脑用户被要求提高警惕,因为网络安全研究人员发现了一种名为CrashStealer的新恶意软件,它伪装成Apple的官方实用程序。该恶意软件旨在窃取各种敏感数据,从密码,浏览器数据到加密资产钱包。
Jamf Threat Labs发现,CrashStealer通过名为Werkbit的虚假应用程序积极传播。
由于恶意软件绕过了Apple的公证安全机制,因此它没有立即被Gatekeeper阻止,Gatekeeper是macOS的内置安全系统,通常可以防止运行恶意应用程序。
CrashStealer 伪装成 CrashReporter.app,该应用程序的外观与 macOS 的内置崩溃报告系统非常相似。由于它的外观非常令人信服,许多用户可能会认为该应用程序是 Apple 的官方组件。事实上,原始的崩溃报告器功能已经成为 macOS 的一部分,不需要单独下载。
在运行时,该恶意软件会以系统管理为由请求全盘访问权限。之后,恶意软件显示了一个密码提示对话框,其外观与官方macOS身份验证窗口几乎相同。
如果用户输入管理员密码,CrashStealer会立即使用它来访问钥匙串登录,这是macOS存储各种重要凭据的地方。
从密码到加密钱包
根据Jamf Threat Labs的说法,CrashStealer旨在收集各种类型的敏感数据,包括:
浏览器数据,
从钥匙串登录获取信息
密码管理器数据
文件夹中的文件 文档,
文件在下载文件夹中
加密货币钱包扩展。
该恶意软件能够针对 80 多个加密钱包扩展以及至少 14 个密码管理器应用程序。
目标密码管理器包括:
1Password
LastPass
Dashlane。
所有成功收集的数据都使用AES-256-GCM算法通过Apple的CommonCrypto框架进行加密,然后发送到攻击者的服务器。
逃脱苹果的安全系统
最令人担忧的事情之一是CrashStealer绕过Apple的公证过程的能力。公证是Apple使用的安全机制,用于检查应用程序是否包含恶意代码,然后才允许其在macOS上运行。
然而,在这种情况下,Werkbit应用程序曾获得公证状态,因此Gatekeeper将其视为安全的应用程序。
Jamf认为,CrashStealer的实施表明,它比一般的数据窃贼恶意软件更先进,因为它能够非常整齐地掩盖其活动。
苹果已经关闭了攻击路径
Jamf于2026年5月首次发现CrashStealer,并于7月再次检测到该恶意软件仍在使用。
在收到报告后,Apple 撤销了 Werkbit 应用程序的签名凭据,因此研究人员发现的传播路径现已停用。
然而,研究人员提醒说,攻击者可以在未来使用其他方法来传播类似的恶意软件。
值得注意的是,CrashStealer的早期版本只能使用特殊的PIN安装。这表明该恶意软件可能用于针对特定个人或组织的攻击,而不是大规模传播。
如何保护自己
Jamf敦促Mac用户在从互联网下载应用程序时要多加小心。
建议采取的措施包括:
不要下载声称是CrashReporter的应用程序,因为该功能已在macOS中内置;
当您首次打开应用程序时,请注意立即要求管理员密码的应用程序;
仅从受信任的来源下载应用程序;
始终将 macOS 更新到最新版本,以获得最新的安全保护。
CrashStealer 的案例表明,即使是现代安全系统也无法始终阻止所有威胁。越来越复杂的隐形技术使用户仍然是最重要的防御层。因此,在安装应用程序之前检查其来源,不要随意授予访问权限或输入管理员密码,是防止窃取重要数据和数字资产的简单步骤。