Utilizatorii de Mac se confruntă cu o nouă amenințare de securitate. Specialiștii de la Jamf Threat Labs au identificat un malware denumit „CrashStealer”, conceput pentru a fura parole, date din browsere și informații din portofele de criptomonede.
CrashStealer se ascunde într-o aplicație aparent legitimă
Potrivit cercetătorilor, malware-ul este distribuit printr-o aplicație de întâlniri online numită Werkbit.
Programul părea autentic și utiliza un ID valid de dezvoltator, împreună cu un certificat emis de Apple. Aceste elemente îi ofereau credibilitate și reduceau suspiciunile utilizatorilor.
Jamf a raportat problema către Apple, iar compania a revocat între timp acreditările folosite de aplicație.
CrashStealer se prezintă drept un instrument al Apple
Dropper-ul descarcă o imagine de disc, CrashReporter.dmg, care conține un pachet de aplicații, CrashReporter.app. Aplicația CrashReporter are o pictogramă cu aspect legitim și este concepută să arate ca un instrument Apple, astfel încât atunci când prezintă o solicitare de parolă (cu sintagma oarecum plauzibilă „System Preferences wants to make changes” și grafică standard), este posibil ca utilizatorul să fie convins să se conformaeze cu această cerere.

Sunt vizate parolele și portofelele de criptomonede
După obținerea drepturilor necesare, CrashStealer începe să colecteze informații din sistem.
Malware-ul caută date din browsere precum Chrome, Edge, Brave, Opera, Vivaldi și Chromium.
De asemenea, încearcă să acceseze portofele de criptomonede, inclusiv MetaMask, Coinbase Wallet, Phantom, Trust Wallet și Exodus.
Lista aplicațiilor vizate include și manageri de parole precum 1Password, Bitwarden, Dashlane, LastPass, NordPass și RoboForm.
Recomandările specialiștilor
Experții recomandă prudență chiar și atunci când o aplicație pare autentică.
Utilizatorii ar trebui să verifice cu atenție orice solicitare de introducere a parolei de sistem și să evite instalarea aplicațiilor din surse necunoscute.
Jamf a publicat o analiză tehnică detaliată a malware-ului, iar cercetătorii recomandă monitorizarea atentă a aplicațiilor Werkbit și CrashReporter.
