Пн-Пт: с 9:00 до 19:00 Мы уже закрыты, но снова откроемся что бы радовать вас завтра в 10:00
Сб: с 10:00 до 16:00
Вс: выходной
UA
RU
UA
RU
UA
RU

Новая угроза для Mac: хакеры используют одобренные Apple приложения для угона паролей и криптокошельков

13.07.2026

Пользователи macOS традиционно считают свои компьютеры более защищёнными от вирусов, чем устройства на других платформах. Однако новое вредоносное программное обеспечение CrashStealer показывает, что даже официально подписанные и нотариально заверенные Apple приложения могут использоваться киберпреступниками для атак.

Исследователи Jamf Threat Labs обнаружили новую кампанию, в рамках которой злоумышленники распространяли заражённое приложение для онлайн-встреч. После запуска оно получало доступ к паролям, данным браузеров, криптовалютным кошелькам и другой конфиденциальной информации пользователя.

 

Как работает атака CrashStealer

Первым этапом атаки стало приложение Werkbit, которое позиционировалось как сервис для видеоконференций или совместной работы. Самое опасное то, что программа имела действующий Apple Developer ID и успешно прошла процедуру нотарификации Apple. Благодаря этому macOS не отображала стандартное предупреждение о запуске неизвестного программного обеспечения.

После того как исследователи сообщили Apple об угрозе, компания отозвала сертификат разработчика, который использовался для подписи вредоносного приложения.

 

photo_2_2026-07-13_22-55-17

 

Однако для заражения компьютера недостаточно просто скачать файл. Пользователь должен самостоятельно:

  • скачать Werkbit;
  • запустить приложение;
  • разрешить выполнение необходимых действий;
  • ввести пароль администратора Mac.

Именно поэтому атака относится к категории социальной инженерии — она во многом основана на доверии пользователя.

 

[blog-product-8729, 8753, 8738, 8734, 8720-title-new_product]

 

Почему приложение выглядело абсолютно безопасным

По словам специалистов Jamf, установщик был доступен только после ввода специального PIN-кода для подключения к встрече. Такой подход позволял скрывать программу от поисковых систем и автоматических сервисов анализа вредоносного ПО.

После запуска Werkbit незаметно обращался к GitHub, получал инструкции для дальнейших действий и загружал основной модуль CrashStealer с серверов злоумышленников.

Фактически пользователь запускал обычное на вид приложение, которое лишь позже загружало основной вирус.

 

CrashStealer маскируется под системный компонент macOS

После установки вредоносная программа выдаёт себя за системный компонент CrashReporter — сервис, который действительно существует в macOS и отвечает за отправку отчётов о сбоях.

Используются:

  • название CrashReporter;
  • иконка, похожая на системную;
  • идентификатор com.apple.crashreporter;
  • размещение файлов в скрытых системных каталогах.

Благодаря этому даже опытному пользователю сложнее заподозрить угрозу.

 

Поддельное системное окно крадёт пароль Mac

Одним из самых опасных этапов работы CrashStealer является появление поддельного системного окна macOS, которое просит ввести пароль администратора.

 

photo_3_2026-07-13_22-55-17

 

Внешне оно практически не отличается от настоящего системного запроса.

После ввода пароля вредоносная программа:

  • проверяет его правильность;
  • получает доступ к Keychain;
  • копирует базу login.keychain-db;
  • сохраняет пароль для последующей отправки злоумышленникам.

Таким образом хакеры получают доступ не только к самому Mac, но и ко всем учётным записям, которые хранятся в системном хранилище паролей.

 

Какие данные похищает CrashStealer

Функциональность нового стилера значительно шире обычной кражи паролей.

Программа способна собирать:

  • пароли из Keychain;
  • cookies и историю браузеров;
  • сохранённые логины;
  • данные профилей Chrome, Safari, Firefox, Edge, Brave, Opera и Vivaldi;
  • расширения браузеров;
  • файлы из папок «Документы» и «Загрузки».

Особое внимание CrashStealer уделяет криптовалютам.

Исследователи обнаружили поддержку около 80 расширений криптовалютных кошельков, а также 14 популярных менеджеров паролей, среди которых:

  • 1Password;
  • Bitwarden;
  • LastPass;
  • Dashlane;
  • Keeper;
  • KeePassXC;
  • NordPass.

 

Похищенные данные шифруются перед отправкой

Все собранные файлы шифруются алгоритмом AES-256-GCM, после чего упаковываются в скрытые ZIP-архивы и отправляются на серверы злоумышленников.

Кроме этого, CrashStealer анализирует систему на наличие:

  • антивирусов;
  • средств защиты конечных устройств;
  • программ для анализа вредоносного ПО.

Это помогает злоумышленникам понять, насколько высок риск обнаружения.

 

Вредоносная программа запускается при каждом входе в систему

После заражения CrashStealer копирует себя в скрытый каталог пользователя и создаёт LaunchAgent, который автоматически запускает вирус при каждом входе в macOS.

Даже если пользователь удалит исходный установочный файл, вредоносная программа продолжит работать в фоновом режиме.photo_4_2026-07-13_22-55-17

Именно поэтому простого удаления загруженного DMG-файла недостаточно для полного очищения компьютера.

 

Как защитить Mac от CrashStealer

Эксперты рекомендуют соблюдать несколько простых правил:

  • не открывать неизвестные файлы CrashReporter.dmg;
  • скачивать программы только из проверенных источников;
  • проверять подлинность приглашений на онлайн-встречи;
  • не вводить пароль администратора после запуска незнакомых приложений;
  • регулярно проверять разрешения Full Disk Access;
  • контролировать список программ автозапуска.

Если пароль уже был введён после запуска подозрительного приложения, специалисты рекомендуют:

  • отключить Mac от интернета;
  • сменить пароль Apple Account;
  • обновить пароли всех важных сервисов;
  • завершить активные сеансы в браузерах;
  • проверить финансовые аккаунты;
  • при необходимости перевести криптовалюту на новый кошелёк;
  • полностью переустановить macOS.

 

Итоги

Случай с CrashStealer ещё раз показывает, что наличие цифровой подписи Apple или успешная проверка Gatekeeper уже не являются абсолютной гарантией безопасности. Киберпреступники всё чаще используют легитимные механизмы macOS, чтобы обходить защиту и вызывать доверие пользователей.

Мнение AppleFun

Эта история ещё раз напоминает простую истину: самым слабым звеном системы зачастую остаётся не программное обеспечение, а внимательность пользователя. Даже самые современные механизмы защиты не помогут, если без раздумий запускать неизвестные программы и вводить пароль администратора по первому запросу. Именно здоровый скептицизм и проверка источника загрузки сегодня остаются одними из самых эффективных способов защитить свой Mac.

FAQ

Может ли CrashStealer заразить Mac без моего участия?

Нет. Согласно имеющейся информации, CrashStealer не использует атаки типа zero-click. Для заражения пользователь должен самостоятельно скачать программу, запустить её и ввести пароль администратора.

Почему macOS не заблокировала вредоносное приложение?

Первый этап атаки использовал приложение Werkbit, которое имело действующую цифровую подпись разработчика и было нотариально заверено Apple. Поэтому Gatekeeper считал программу безопасной. После обнаружения угрозы Apple отозвала сертификат, использовавшийся злоумышленниками.

Киев, ул. Алексея Тихого 42а, м. Шулявская
Пн-Пт: с 9:00 до 19:00
Сб: с 10:00 до 16:00
Вс: выходной
UA
RU