雅加达 - Mac电脑用户被要求提高警惕,因为网络安全研究人员发现了一种名为CrashStealer的新恶意软件,它伪装成Apple的官方实用程序。该恶意软件旨在窃取各种敏感数据,从密码,浏览器数据到加密资产钱包。

Jamf Threat Labs发现,CrashStealer通过名为Werkbit的虚假应用程序积极传播。

由于恶意软件绕过了Apple的公证安全机制,因此它没有立即被Gatekeeper阻止,Gatekeeper是macOS的内置安全系统,通常可以防止运行恶意应用程序。

CrashStealer 伪装成 CrashReporter.app,该应用程序的外观与 macOS 的内置崩溃报告系统非常相似。由于它的外观非常令人信服,许多用户可能会认为该应用程序是 Apple 的官方组件。事实上,原始的崩溃报告器功能已经成为 macOS 的一部分,不需要单独下载。

在运行时,该恶意软件会以系统管理为由请求全盘访问权限。之后,恶意软件显示了一个密码提示对话框,其外观与官方macOS身份验证窗口几乎相同。

如果用户输入管理员密码,CrashStealer会立即使用它来访问钥匙串登录,这是macOS存储各种重要凭据的地方。

从密码到加密钱包

根据Jamf Threat Labs的说法,CrashStealer旨在收集各种类型的敏感数据,包括:

浏览器数据,

从钥匙串登录获取信息

密码管理器数据

文件夹中的文件 文档,

文件在下载文件夹中

加密货币钱包扩展。

该恶意软件能够针对 80 多个加密钱包扩展以及至少 14 个密码管理器应用程序。

目标密码管理器包括:

1Password

LastPass

Dashlane。

所有成功收集的数据都使用AES-256-GCM算法通过Apple的CommonCrypto框架进行加密,然后发送到攻击者的服务器。

逃脱苹果的安全系统

最令人担忧的事情之一是CrashStealer绕过Apple的公证过程的能力。公证是Apple使用的安全机制,用于检查应用程序是否包含恶意代码,然后才允许其在macOS上运行。

然而,在这种情况下,Werkbit应用程序曾获得公证状态,因此Gatekeeper将其视为安全的应用程序。

Jamf认为,CrashStealer的实施表明,它比一般的数据窃贼恶意软件更先进,因为它能够非常整齐地掩盖其活动。

苹果已经关闭了攻击路径

Jamf于2026年5月首次发现CrashStealer,并于7月再次检测到该恶意软件仍在使用。

在收到报告后,Apple 撤销了 Werkbit 应用程序的签名凭据,因此研究人员发现的传播路径现已停用。

然而,研究人员提醒说,攻击者可以在未来使用其他方法来传播类似的恶意软件。

值得注意的是,CrashStealer的早期版本只能使用特殊的PIN安装。这表明该恶意软件可能用于针对特定个人或组织的攻击,而不是大规模传播。

如何保护自己

Jamf敦促Mac用户在从互联网下载应用程序时要多加小心。

建议采取的措施包括:

不要下载声称是CrashReporter的应用程序,因为该功能已在macOS中内置;

当您首次打开应用程序时,请注意立即要求管理员密码的应用程序;

仅从受信任的来源下载应用程序;

始终将 macOS 更新到最新版本,以获得最新的安全保护。

CrashStealer 的案例表明,即使是现代安全系统也无法始终阻止所有威胁。越来越复杂的隐形技术使用户仍然是最重要的防御层。因此,在安装应用程序之前检查其来源,不要随意授予访问权限或输入管理员密码,是防止窃取重要数据和数字资产的简单步骤。


The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)

Add VOI as a Preferred Source
Follow VOI news updates across Google.
+