
Хотя macOS в целом очень стабильна, бывают случаи, когда приложение дает сбой, и ваш Mac предлагает отправить отчет о диагностике в Apple.
Обнаружена новая разновидность вредоносного ПО для Mac, которая создает поддельные версии этой формы, запрашивая пароль от вашего Mac для якобы сбора данных. Если вы введете его, злоумышленники получат доступ к огромному объему персональной информации, включая ваши менеджеры паролей и криптовалютные кошельки…
Компания Jamf заявляет, что начала отслеживать это вредоносное ПО в мае и теперь зафиксировала его реальные случаи использования.
В начале мая в нашем конвейере обработки образцов появился подозрительный файл для macOS, загруженный на VirusTotal, и специалисты Jamf Threat Labs начали его отслеживать. Он имитировал систему отправки отчетов о сбоях Apple и на тот момент выглядел как похититель данных, находящийся в стадии разработки. К началу июля мы начали фиксировать реальные случаи использования этой полезной нагрузки, что говорит о том, что проект перерос стадию разработки и начал активно применяться. Мы отслеживаем это вредоносное ПО под названием CrashStealer.
Эксперты по кибербезопасности отмечают, что образ диска, использовавшийся для распространения вредоносного ПО, изначально имел действительный ID разработчика Apple и был нотариально заверен, что позволило ему пройти проверки Gatekeeper.
Первоначальный доступ осуществляется через образ диска под названием «Werkbit Setup», который монтируется в
/Volumes/Werkbit Setupи содержит один пакет приложенияWerkbit.app. Его исполняемый файл называетсяveltodи имеет идентификатор пакетаdev.golove.velto. В отличие от вредоносной программы, которую он в конечном итоге устанавливает, дроппер должным образом подписан и нотариально заверен: это универсальный (arm64 и x86_64) двоичный файл, подписанный ID разработчикаEmil Grigorov (WWB7JA7AQV), с включенной защищенной средой выполнения и прикрепленным тикетом нотариального заверения. Примечательно, что сам образ диска также подписан, а не только приложение внутри него, что необычно для вредоносных DMG-образов, где контейнер, как правило, остается неподписанным.
Macworld сообщает, что Apple отозвала сертификаты, поэтому теперь угроза должна обнаруживаться системой Gatekeeper. Тем не менее, осторожность не помешает. Помимо того, чтобы остерегаться упомянутого образа диска, внимательно проверяйте отчеты о сбоях приложений и любые запросы пароля, в которых говорится, что «Системные настройки» хотят внести изменения.
Как всегда, ваша лучшая защита — загружать приложения только из Mac App Store и с сайтов разработчиков, которым вы доверяете.
- Официальный магазин Apple на Amazon
- AirPods Pro 3 со скидкой
- Беспроводной адаптер CarPlay
- Держатели и аксессуары для AirTag
- Корпус для Mac mini в стиле Mac Pro
- NordVPN — VPN с упором на конфиденциальность, без логов и с независимым аудитом
Фото: Филипп Катценбергер на Unsplash