Нова загроза для Mac: хакери використовують схвалені Apple застосунки для викрадення паролів і криптогаманців
Користувачі macOS традиційно вважають свої комп'ютери більш захищеними від вірусів, ніж інші платформи. Однак нове шкідливе програмне забезпечення CrashStealer демонструє, що навіть офіційно підписані та перевірені Apple програми можуть використовуватися кіберзлочинцями для атак.
Дослідники Jamf Threat Labs виявили нову кампанію, у якій зловмисники поширювали заражений застосунок для онлайн-зустрічей. Після запуску він відкривав доступ до паролів, даних браузерів, криптовалютних гаманців та іншої конфіденційної інформації користувача.
Як працює атака CrashStealer
Першим етапом атаки став застосунок Werkbit, який позиціонувався як сервіс для відеоконференцій або спільної роботи. Найнебезпечніше те, що програма мала дійсний Apple Developer ID та успішно пройшла процедуру нотаризації Apple. Завдяки цьому macOS не показувала стандартне попередження про запуск невідомого програмного забезпечення.
Після того як дослідники повідомили Apple про загрозу, компанія відкликала сертифікат розробника, який використовувався для підпису шкідливого застосунку.

Втім, для зараження комп'ютера недостатньо лише завантажити файл. Користувач повинен самостійно:
- завантажити Werkbit;
- відкрити застосунок;
- дозволити виконання необхідних дій;
- ввести пароль адміністратора Mac.
Саме тому атака належить до категорії соціальної інженерії — вона значною мірою покладається на довіру користувача.
[blog-product-8729, 8753, 8738, 8734, 8720-title-new_product]
Чому застосунок виглядав абсолютно безпечним
За словами експертів Jamf, інсталятор був доступний лише після введення спеціального PIN-коду для зустрічі. Такий підхід дозволяв приховати програму від пошукових систем і автоматичних сервісів аналізу шкідливого ПЗ.
Після запуску Werkbit непомітно звертався до GitHub, отримував інструкції щодо подальших дій та завантажував основний модуль CrashStealer із серверів зловмисників.
Фактично користувач запускав звичайний на вигляд застосунок, який лише згодом завантажував основний вірус.
CrashStealer маскується під системний компонент macOS
Після встановлення шкідлива програма видає себе за системний компонент CrashReporter — сервіс, який дійсно існує в macOS і відповідає за звіти про збої.
Використовуються:
- назва CrashReporter;
- іконка, схожа на системну;
- ідентифікатор com.apple.crashreporter;
- розташування файлів у прихованих системних каталогах.
Завдяки цьому навіть досвідченому користувачу складніше запідозрити небезпеку.
Фальшиве системне вікно викрадає пароль Mac
Одним із найнебезпечніших етапів роботи CrashStealer є поява підробленого системного вікна macOS, яке просить ввести пароль адміністратора.

Зовні воно практично не відрізняється від справжнього запиту системи.
Після введення пароля шкідлива програма:
- перевіряє його правильність;
- отримує доступ до Keychain;
- копіює базу login.keychain-db;
- зберігає пароль для подальшого надсилання зловмисникам.
Таким чином хакери отримують доступ не лише до самого Mac, а й до всіх облікових записів, які зберігаються в системному сховищі паролів.
Які дані викрадає CrashStealer
Функціональність нового стилера значно ширша, ніж звичайне викрадення паролів.
Програма здатна збирати:
- паролі із Keychain;
- cookies та історію браузерів;
- збережені логіни;
- дані профілів Chrome, Safari, Firefox, Edge, Brave, Opera та Vivaldi;
- розширення браузерів;
- файли з папок "Документи" та "Завантаження".
Особливу увагу CrashStealer приділяє криптовалютам.
Дослідники виявили підтримку близько 80 розширень криптогаманців, а також 14 популярних менеджерів паролів, серед яких:
- 1Password;
- Bitwarden;
- LastPass;
- Dashlane;
- Keeper;
- KeePassXC;
- NordPass.
Викрадені дані шифруються перед відправленням
Усі зібрані файли шифруються алгоритмом AES-256-GCM, після чого упаковуються у приховані ZIP-архіви та передаються на сервери зловмисників.
Крім цього, CrashStealer аналізує систему на наявність:
- антивірусів;
- засобів захисту кінцевих пристроїв;
- програм для аналізу шкідливого ПЗ.
Це допомагає хакерам зрозуміти, наскільки високий ризик викриття.
Шкідлива програма запускається після кожного входу в систему
Після зараження CrashStealer копіює себе до прихованої директорії користувача та створює LaunchAgent, який автоматично запускає вірус під час кожного входу до macOS.
Навіть якщо користувач видалить початковий інсталяційний файл, шкідлива програма продовжить працювати у фоновому режимі.

Саме тому простого видалення завантаженого DMG-файлу недостатньо для повного очищення комп'ютера.
Як захистити Mac від CrashStealer
Експерти рекомендують дотримуватися кількох простих правил:
- не відкривати невідомі файли CrashReporter.dmg;
- завантажувати програми лише з перевірених джерел;
- перевіряти справжність запрошень на онлайн-зустрічі;
- не вводити пароль адміністратора після запуску незнайомих програм;
- регулярно переглядати дозволи Full Disk Access;
- контролювати список програм автоматичного запуску.
Якщо пароль уже було введено після запуску підозрілого застосунку, фахівці радять:
- від'єднати Mac від інтернету;
- змінити пароль Apple Account;
- оновити паролі всіх важливих сервісів;
- завершити активні сесії браузерів;
- перевірити фінансові акаунти;
- за потреби перенести криптовалюту на новий гаманець;
- повністю перевстановити macOS.
Підсумок
Випадок із CrashStealer вкотре показує, що наявність цифрового підпису Apple або успішна перевірка Gatekeeper вже не є абсолютною гарантією безпеки. Кіберзлочинці дедалі частіше використовують легітимні механізми macOS, щоб обійти захист і викликати довіру користувачів.
Думка AppleFun
Ця історія ще раз нагадує просту істину: найслабшою ланкою системи часто залишається не програмне забезпечення, а людська уважність. Навіть сучасні механізми захисту не допоможуть, якщо без вагань запускати невідомі програми та вводити пароль адміністратора на першу вимогу. Саме здоровий скептицизм і перевірка джерела завантаження сьогодні залишаються одним із найефективніших способів захистити свій Mac.
FAQ
Чи може CrashStealer заразити Mac без моєї участі?
Ні. За наявною інформацією, CrashStealer не використовує безконтактні (zero-click) атаки. Для зараження користувач повинен самостійно завантажити програму, запустити її та ввести пароль адміністратора.
Чому macOS не заблокувала шкідливий застосунок?
Перший етап атаки використовував застосунок Werkbit, який мав дійсний цифровий підпис розробника та був нотаризований Apple. Через це Gatekeeper вважав програму безпечною. Після виявлення загрози Apple відкликала сертифікат, який використовували зловмисники.
