безопасность 1 мин

Новый Mac-зловред притворяется системой Apple: как не попасться

CrashStealer маскируется под официальный инструмент отчётов о сбоях macOS, используя подписанный Apple сертификат. Вредонос крадёт пароли, данные менеджеров паролей и криптокошельки через поддельное окно ввода пароля, имитирующее запрос системы.

Это первый широко распространённый Mac-малварь с полноценной легитимацией от Apple, что ломает базовую модель доверия в экосистеме. Пользователи macOS должны пересмотреть представление о безопасности платформы.

Новая угроза для macOS: CrashStealer

Исследователи Jamf обнаружили infostealer для macOS, который маскируется под системный инструмент отчётов о сбоях Apple. Вредонос CrashStealer, написанный на C++, впервые замечен в мае 2026 года и уже активно распространяется.

Механизм атаки

Малварь использует имена CrashReporter.dmg и CrashReporter.app с визуально идентичной иконкой. Ключевой момент: основной .dmg-файл подписан действующим Developer ID и нотаризован Apple, что позволяет обойти Gatekeeper без предупреждений.

После установки зловред показывает поддельное окно запроса пароля, неотличимое от легитимного системного запроса macOS. Украденные учётные данные проверяются локально, после чего вредонос атакует менеджеры паролей, браузеры и криптокошельки. Всё отправляется на сервер злоумышленников в зашифрованном виде.

Векторы распространения

CrashStealer распространяется через: - Подписанные .dmg-файлы (в данном случае — «Werkbit Setup») - ClickFix-техники — фишинговые сайты с инструкциями «скопируй и выполни команду» - AI-ловушки — отравленные диалоги с чат-ботами, ведущие на вредоносные сайты

Защита

Эксперты рекомендуют: 1. Скачивать ПО только из Mac App Store или официальных сайтов разработчиков 2. Включить критические функции безопасности macOS (по умолчанию отключены) 3. Проверять запросы паролей — даже легитимно выглядящие окна могут быть подделкой

Времена «Mac безопасен по умолчанию» прошли. С распространением AI-инструментов в киберкриминале угрозы для macOS будут только расти.

Ключевые выводы

  • CrashStealer использует валидный сертификат разработчика и нотаризацию Apple, что делает его неотличимым от легитимного ПО при установке
  • Вредонос имитирует системное окно запроса пароля macOS с высокой точностью — визуально определить подделку практически невозможно
  • Миф о безопасности macOS окончательно развеян: платформа становится полноценной целью для киберпреступников
  • AI ускоряет эволюцию Mac-малвари: от написания кода до социальной инженерии через чат-ботов
  • Даже нотаризация Apple не гарантирует безопасность — злоумышленники научились использовать легитимные механизмы для доставки вредоносов
macOSmalwareinfostealerкража_данныхсоциальная_инженерия

Автор: Сергей Ефимов · Источник: zdnet.com

Мнение редакции

Это тревожный звонок для экосистемы Apple. CrashStealer показывает, что нотаризация и подпись разработчика — больше не гарантия безопасности. Злоумышленники либо получили доступ к валидным сертификатам, либо нашли способ обойти проверки Apple. В любом случае, это пробоина в модели доверия.

Особенно неприятно, что вредонос имитирует системный запрос пароля с такой точностью, что даже опытный пользователь не отличит подделку. Рекомендации «скачивайте только из App Store» звучат правильно, но на практике многие профессиональные инструменты распространяются напрямую. Единственный реальный совет: относиться с паранойей к любым запросам пароля от связки ключей, особенно при установке софта.

Комментарии