CrashStealer: как вредонос для macOS прошёл проверку Apple, спрятавшись за легальной подписью

Исследователи из Jamf Threat Labs обнаружили новый инфостилер для macOS под названием CrashStealer, который выделяется среди типичных вредоносов тем, как он проникает на устройство жертвы. Вместо привычной схемы с неподписанным установщиком авторы CrashStealer пошли другим путём: они получили нотаризацию Apple для своего дроппера, и это позволило зловреду спокойно пройти проверку Gatekeeper — встроенного механизма защиты macOS, который должен блокировать запуск сомнительного софта.
Об этом рассказал исследователь безопасности Jamf Тийс Ксфлер (Thijs Xhaflaire) в отчёте, который компания передала изданию The Hacker News. По его словам, малварь «локально проверяет пароль от учётной записи жертвы перед сбором данных, собирает информацию из браузеров, криптокошельков, менеджеров паролей и связки ключей, шифрует всё собранное с помощью AES-GCM перед отправкой через libcurl и закрепляется на системе, копируя и повторно подписывая себя».
Технически CrashStealer написан на нативном C++ — редкость для стилеров под macOS, которые обычно строятся на дропперах AppleScript или обёртках Objective-C. Такой выбор языка сам по себе намекает на серьёзность подхода разработчиков: код получается компактнее и сложнее для анализа. Вредонос использует уплощение потока управления (control-flow flattening), шифрование строк и многослойную защиту от отладки — набор приёмов, который обычно встречается у более продвинутых семейств малвари, а не у рядовых стилеров, штампуемых десятками в месяц.
В Jamf отметили ещё одну деталь: «Цепочка доставки CrashStealer сделана с реальной заботой о деталях: вместо голой неподписанной приманки операторы выставляют вперёд подписанный и нотаризованный дроппер, который проходит Gatekeeper, прежде чем тихо загрузить, повторно подписать и запустить полезную нагрузку». Дистрибутив распространяется в виде образа диска с именем «Werkbit.app», и как сам образ, так и бинарник нотаризованы под действующим Developer ID — Emil Grigorov, идентификатор WWB7JA7AQV.
Заражение начинается с того, что жертва монтирует образ диска и видит экран установки с инструкцией: щёлкнуть правой кнопкой по приложению и выбрать «Открыть», чтобы обойти стандартные предупреждения безопасности macOS. После запуска исполняемый файл с названием «veltod» обращается к репозиторию на GitHub — — и забирает оттуда файл «sys.cache». Из этого файла извлекается команда curl, которая подтягивает шелл-скрипт, работающий как загрузчик следующей стадии. Скрипт скачивает файл «CrashReporter.dmg» и сохраняет его во временную папку /tmp.
Дальше вредонос закрепляется в системе как LaunchAgent, включает свои механизмы противодействия анализу и показывает жертве запрос пароля. Введённые данные проверяются локально, после чего с их помощью разблокируется связка ключей входа (login keychain). Прежде чем приступить к сбору данных, малварь составляет список установленных на устройстве средств безопасности и анализа — судя по всему, чтобы понять, стоит ли опасаться обнаружения.
Список того, что CrashStealer вытаскивает с заражённой машины, впечатляет своим охватом. Из браузеров на движке Chromium он забирает учётные данные у Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium и корейского Naver Whale. Отдельно вредонос нацелен примерно на 80 расширений криптовалютных кошельков, среди которых М⃰Mask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare и Backpack. Не остаются в стороне и менеджеры паролей — под удар попадают 14 таких приложений, включая 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm. Дополнительно стилер копирует файлы из папок Документы и Загрузки, а также материалы связки ключей, доступ к которой открывает ранее украденный пароль.
Всё собранное упаковывается в ZIP-архив, шифруется тем самым AES-GCM и отправляется на сервер злоумышленников по адресу 179.43.166[.]242.
Инфраструктура доставки тоже устроена не по стандартной схеме. Домен werkbit[.]io, с которого раздаётся вредонос, зарегистрирован в июне 2026 года, а доступ к загрузке защищён PIN-кодом собрания — файл выдаётся только тем, кто вводит правильный код, а не всем подряд посетителям сайта. Это указывает на то, что операторы предпочитают выборочное распространение массовому заражению, вероятно, целясь в конкретные группы пользователей через фишинговые приглашения на встречи или похожие схемы социальной инженерии.
Исследователи Jamf также обнаружили другие домены, использующие общую бэкенд-инфраструктуру с werkbit[.]io, что говорит о принадлежности CrashStealer к более крупной кампании, затрагивающей не только macOS. Сочетание нотаризованного дроппера, продвинутых техник шифрования и противодействия анализу, а также широчайшего охвата целей — от браузерных паролей до криптокошельков и менеджеров паролей — ставит CrashStealer в один ряд с наиболее технически зрелыми образцами вредоносного ПО, замеченными на платформе Apple за последнее время.


Новое на сайте

Ссылка