На Mac появился опасный вирус CrashStealer, который собирает данные из браузеров, информацию из менеджеров паролей и расширений криптовалютных кошельков.
Он распространяется через приложение Werkbit, которое было одобрено Apple. Приложение маскируется под встроенный механизм macOS для отправки отчётов о сбоях.
CrashStealer нацелен более чем на 80 расширений криптовалютных кошельков, а также на 14 менеджеров паролей, включая 1Password, LastPass и Dashlane. Кроме того, он сканирует папки «Загрузки» и «Документы» в поисках ценной информации.

В процессе установки приложение запрашивает системный пароль и полный доступ к диску. После ввода пароля CrashStealer получает доступ к связке ключей macOS.
Все собранные данные шифруются с помощью алгоритма AES-256-GCM и отправляются на IP-адрес злоумышленников.
Apple подтвердила, что CrashStealer использовался в реальных атаках. Компания отозвала сертификат подписи приложения Werkbit, поэтому система будет блокировать его установку. Но вирус может встроить в другое приложение, скачивайте программы только из проверенных источников. [MacRumors]
1 комментарий