Важно: остерегайтесь поддельных отчетов о сбоях macOS, крадущих ваши пароли, криптовалютные кошельки и другие данные

Хотя macOS в целом очень стабильна, бывают случаи, когда приложение дает сбой, и ваш Mac предлагает отправить отчет о диагностике в Apple.

Обнаружена новая разновидность вредоносного ПО для Mac, которая создает поддельные версии этой формы, запрашивая пароль от вашего Mac для якобы сбора данных. Если вы введете его, злоумышленники получат доступ к огромному объему персональной информации, включая ваши менеджеры паролей и криптовалютные кошельки…

Компания Jamf заявляет, что начала отслеживать это вредоносное ПО в мае и теперь зафиксировала его реальные случаи использования.

В начале мая в нашем конвейере обработки образцов появился подозрительный файл для macOS, загруженный на VirusTotal, и специалисты Jamf Threat Labs начали его отслеживать. Он имитировал систему отправки отчетов о сбоях Apple и на тот момент выглядел как похититель данных, находящийся в стадии разработки. К началу июля мы начали фиксировать реальные случаи использования этой полезной нагрузки, что говорит о том, что проект перерос стадию разработки и начал активно применяться. Мы отслеживаем это вредоносное ПО под названием CrashStealer.

Эксперты по кибербезопасности отмечают, что образ диска, использовавшийся для распространения вредоносного ПО, изначально имел действительный ID разработчика Apple и был нотариально заверен, что позволило ему пройти проверки Gatekeeper.

Первоначальный доступ осуществляется через образ диска под названием «Werkbit Setup», который монтируется в /Volumes/Werkbit Setup и содержит один пакет приложения Werkbit.app. Его исполняемый файл называется veltod и имеет идентификатор пакета dev.golove.velto. В отличие от вредоносной программы, которую он в конечном итоге устанавливает, дроппер должным образом подписан и нотариально заверен: это универсальный (arm64 и x86_64) двоичный файл, подписанный ID разработчика Emil Grigorov (WWB7JA7AQV), с включенной защищенной средой выполнения и прикрепленным тикетом нотариального заверения. Примечательно, что сам образ диска также подписан, а не только приложение внутри него, что необычно для вредоносных DMG-образов, где контейнер, как правило, остается неподписанным.

Macworld сообщает, что Apple отозвала сертификаты, поэтому теперь угроза должна обнаруживаться системой Gatekeeper. Тем не менее, осторожность не помешает. Помимо того, чтобы остерегаться упомянутого образа диска, внимательно проверяйте отчеты о сбоях приложений и любые запросы пароля, в которых говорится, что «Системные настройки» хотят внести изменения.

Как всегда, ваша лучшая защита — загружать приложения только из Mac App Store и с сайтов разработчиков, которым вы доверяете.

Фото: Филипп Катценбергер на Unsplash