Новый вирус для macOS маскируется под системное приложение Apple

MacRumors: на Mac обнаружили крадущий пароли и деньги вирус CrashStealer
Ноутбук Apple MacBook Air M4 9dream studio/Shutterstock/FOTODOM

На компьютерах Mac обнаружили новый вирус CrashStealer, способный похищать пароли, данные криптокошельков и другую конфиденциальную информацию. Вредоносное ПО распространялось через приложение Werkbit, которое ранее прошло проверку Apple и маскировалось под системный механизм macOS для отправки отчетов о сбоях, сообщает MacRumors.

CrashStealer собирает данные из браузеров, менеджеров паролей и расширений криптовалютных кошельков. В зоне риска находятся более 80 расширений для хранения цифровых активов, а также 14 популярных менеджеров паролей, включая 1Password, LastPass и Dashlane. Кроме того, вредоносное ПО анализирует содержимое папок «Документы» и «Загрузки» в поисках конфиденциальных файлов.

Во время установки приложение запрашивает системный пароль и разрешение на полный доступ к диску. После получения этих привилегий CrashStealer получает доступ к связке ключей macOS, где могут храниться учетные данные и другая чувствительная информация.

Собранные данные шифруются с использованием алгоритма AES-256-GCM и передаются на серверы злоумышленников.

Apple подтвердила, что CrashStealer уже применялся в реальных атаках. Компания отозвала сертификат цифровой подписи приложения Werkbit, благодаря чему macOS теперь блокирует его установку. При этом специалисты предупреждают, что злоумышленники могут встроить вредоносный код в другие программы, поэтому пользователям рекомендуется загружать приложения только из проверенных источников.

Ранее Microsoft закрыла опасную уязвимость Secure Boot спустя более 10 лет.