Исследователи Jamf Threat Labs обнаружили инфонстилер CrashStealer для macOS. Он маскируется под системное приложение macOS и похищает пароли, файлы, связки ключей, данные браузеров и криптокошельков.

Впервые CrashStealer заметили на VirusTotal в мае 2026 года, а уже в начале июля исследователи нашли вредонос на реальных устройствах. Заражение началось с образа диска Werkbit Setup. Приложение было подписано действующим сертификатом и прошло автоматическую проверку Apple, поэтому Gatekeeper не блокировал его при первом запуске.

После установки Werkbit загружал с сервера дополнительные компоненты и запускал в фоновом режиме приложение CrashReporter. Оно маскировалось под системное приложение Apple, копируя название, идентификатор системного компонента и иконку.

Затем приложение открывало окно, похожее на системное, и требовало ввести пароль от учётной записи. Инфостилер проверял его штатными средствами macOS и повторял запрос до тех пор, пока пользователь не вводить правильную комбинацию. Получив пароль, вредонос получал доступ к связке ключей, получал из неё необходимые данные и запрашивал доступ к диску.
Вот что делал CrashStealer на устройстве пользователя:
-
собирал данных из Chrome, Brave, Edge, Opera, Vivaldi и Firefox;
-
изучал данные браузерных расширений;
-
сканировал популярные менеджеры паролей, включая 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC и NordPass;
-
пытался получить доступ к криптокошелькам (в коде нашли около 80 упоминаний распространённых кошельков);
-
просматривал папки «Документы» и «Загрузки» и отбирал потенциально ценные файлы;
-
сохранял собранные данные в скрытой папке
~/.cache/com.apple.crashreporter/, шифровал с помощью AES-256-GCM через системную библиотеку Apple CommonCrypto и упаковывала в ZIP-архивы; -
полученные данные отправлял на сервер с помощью библиотеки libcurl, а IP-адрес был прописан прямо в конфигурации приложения.
Эксперты Jamf Threat Labs передали Apple информацию о сертификате разработчика, которым был подписан установщик Werkbit. Компания его отозвала, поэтому система защиты macOS теперь блокирует известную версию приложения. При этом отзыв сертификата не устраняет вредонос. Его разработчики могут получить новую подпись, переименовать приложение или встроить стилер в другой установщик.
Источник: habr.com