یک بدافزار خطرناک، امنیت کاربران مک را تهدید میکند
کارشناسان امنیتی Jamf Threat Labs دربارهی شیوع بدافزار جدیدی در سیستمعامل macOS هشدار میدهند که خود را بهجای ابزار گزارش خطای اپل جا میزند. این بدافزار که CrashStealer نام دارد، با هدف سرقت اطلاعات حساس کاربران ازجمله دادههای مرورگر، کیف پولهای دیجیتال و رمز عبور طراحی شده است.
برنامهی مخرب نخستینبار در قالب یک نرمافزار جعلی تاییدشده توسط اپل به نام Werkbit مشاهده شد. تأیید اولیهی این برنامه توسط سیستم امنیتی اپل سبب شد تا ابزار امنیتی گیتکیپر مانع از اجرای آن نشود.
کرشاستیلر بیش از ۸۰ افزونهی کیف پول رمزارز و ۱۴ برنامهی مدیریت رمز عبور مانند 1Password و لستپَس و دشلین را هدف قرار میدهد و پوشههای دانلود و اسناد کاربر را برای یافتن اطلاعات ارزشمند جستوجو میکند.
برنامهی مخرب یادشده پس از نصب، ابزار جعلی CrashReporter.app را دانلود میکند تا فرآیند گزارش خطای خود سیستمعامل را شبیهسازی کند. این نرمافزار برای دسترسی کامل به دیسک درخواست مجوز میکند و با نمایش یک پنجرهی دریافت رمز عبور کاملا مشابه با رابط کاربری بومی سیستمعامل، رمز عبور اصلی کاربر را به دست میآورد. دادههای سرقتشده با استفاده از کتابخانهی بومی اپل و الگوریتم AES-256-GCM رمزگذاری میشوند و به سرور مهاجمان انتقال مییابند.
کارشناسان Jamf Threat Labs اعلام کردند که توسعهدهندگان این ابزار مخرب دقت بالایی در پنهانکاری به خرج دادهاند: «روش پیادهسازی CrashStealer نشاندهندهی توجه ویژهی سازندگانش به جزییات است و مراحل پنهانکاری، این بدافزار را از ابزارهای معمولی سرقت اطلاعات متمایز میکند.»
اپل پس از دریافت گزارشهای مربوط به این تهدید گواهی امضای برنامهی Werkbit را باطل کرد تا مسیر اصلی این حملهی خاص مسدود شود. با این حال، کارشناسان هشدار میدهند که احتمال ظهور دوبارهی بدافزار با روشهای جدید وجود دارد.
کاربران برای محافظت از سیستمهای خود باید توجه داشته باشند که ابزار گزارش خطای اپل بهصورت پیشفرض در سیستمعامل وجود دارد و هرگونه درخواست دانلود مجدد یا تقاضای ناگهانی رمز عبور سیستم در بدو اجرای برنامهها، نشانهی فعالیت مخرب است.