Исследователи из Jamf Threat Labs обнаружили новый инфостилер для macOS под названием CrashStealer, который выделяется среди типичных вредоносов тем, как он проникает на устройство жертвы. Вместо привычной схемы с неподписанным установщиком авторы CrashStealer пошли другим путём: они получили нотаризацию Apple для своего дроппера, и это позволило зловреду спокойно пройти проверку Gatekeeper — встроенного механизма защиты macOS, который должен блокировать запуск сомнительного софта.
Об этом рассказал исследователь безопасности Jamf Тийс Ксфлер (Thijs Xhaflaire) в отчёте, который компания передала изданию The Hacker News. По его словам, малварь «локально проверяет пароль от учётной записи жертвы перед сбором данных, собирает информацию из браузеров, криптокошельков, менеджеров паролей и связки ключей, шифрует всё собранное с помощью AES-GCM перед отправкой через libcurl и закрепляется на системе, копируя и повторно подписывая себя».
Технически CrashStealer написан на нативном C++ — редкость для стилеров под macOS, которые обычно строятся на дропперах AppleScript или обёртках Objective-C. Такой выбор языка сам по себе намекает на серьёзность подхода разработчиков: код получается компактнее и сложнее для анализа. Вредонос использует уплощение потока управления (control-flow flattening), шифрование строк и многослойную защиту от отладки — набор приёмов, который обычно встречается у более продвинутых семейств малвари, а не у рядовых стилеров, штампуемых десятками в месяц.
В Jamf отметили ещё одну деталь: «Цепочка доставки CrashStealer сделана с реальной заботой о деталях: вместо голой неподписанной приманки операторы выставляют вперёд подписанный и нотаризованный дроппер, который проходит Gatekeeper, прежде чем тихо загрузить, повторно подписать и запустить полезную нагрузку». Дистрибутив распространяется в виде образа диска с именем «Werkbit.app», и как сам образ, так и бинарник нотаризованы под действующим Developer ID — Emil Grigorov, идентификатор WWB7JA7AQV.
Заражение начинается с того, что жертва монтирует образ диска и видит экран установки с инструкцией: щёлкнуть правой кнопкой по приложению и выбрать «Открыть», чтобы обойти стандартные предупреждения безопасности macOS. После запуска исполняемый файл с названием «veltod» обращается к репозиторию на GitHub — — и забирает оттуда файл «sys.cache». Из этого файла извлекается команда curl, которая подтягивает шелл-скрипт, работающий как загрузчик следующей стадии. Скрипт скачивает файл «CrashReporter.dmg» и сохраняет его во временную папку /tmp.
Дальше вредонос закрепляется в системе как LaunchAgent, включает свои механизмы противодействия анализу и показывает жертве запрос пароля. Введённые данные проверяются локально, после чего с их помощью разблокируется связка ключей входа (login keychain). Прежде чем приступить к сбору данных, малварь составляет список установленных на устройстве средств безопасности и анализа — судя по всему, чтобы понять, стоит ли опасаться обнаружения.
Список того, что CrashStealer вытаскивает с заражённой машины, впечатляет своим охватом. Из браузеров на движке Chromium он забирает учётные данные у Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium и корейского Naver Whale. Отдельно вредонос нацелен примерно на 80 расширений криптовалютных кошельков, среди которых М⃰Mask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare и Backpack. Не остаются в стороне и менеджеры паролей — под удар попадают 14 таких приложений, включая 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm. Дополнительно стилер копирует файлы из папок Документы и Загрузки, а также материалы связки ключей, доступ к которой открывает ранее украденный пароль.
Всё собранное упаковывается в ZIP-архив, шифруется тем самым AES-GCM и отправляется на сервер злоумышленников по адресу 179.43.166[.]242.
Инфраструктура доставки тоже устроена не по стандартной схеме. Домен werkbit[.]io, с которого раздаётся вредонос, зарегистрирован в июне 2026 года, а доступ к загрузке защищён PIN-кодом собрания — файл выдаётся только тем, кто вводит правильный код, а не всем подряд посетителям сайта. Это указывает на то, что операторы предпочитают выборочное распространение массовому заражению, вероятно, целясь в конкретные группы пользователей через фишинговые приглашения на встречи или похожие схемы социальной инженерии.
Исследователи Jamf также обнаружили другие домены, использующие общую бэкенд-инфраструктуру с werkbit[.]io, что говорит о принадлежности CrashStealer к более крупной кампании, затрагивающей не только macOS. Сочетание нотаризованного дроппера, продвинутых техник шифрования и противодействия анализу, а также широчайшего охвата целей — от браузерных паролей до криптокошельков и менеджеров паролей — ставит CrashStealer в один ряд с наиболее технически зрелыми образцами вредоносного ПО, замеченными на платформе Apple за последнее время.
Об этом рассказал исследователь безопасности Jamf Тийс Ксфлер (Thijs Xhaflaire) в отчёте, который компания передала изданию The Hacker News. По его словам, малварь «локально проверяет пароль от учётной записи жертвы перед сбором данных, собирает информацию из браузеров, криптокошельков, менеджеров паролей и связки ключей, шифрует всё собранное с помощью AES-GCM перед отправкой через libcurl и закрепляется на системе, копируя и повторно подписывая себя».
Технически CrashStealer написан на нативном C++ — редкость для стилеров под macOS, которые обычно строятся на дропперах AppleScript или обёртках Objective-C. Такой выбор языка сам по себе намекает на серьёзность подхода разработчиков: код получается компактнее и сложнее для анализа. Вредонос использует уплощение потока управления (control-flow flattening), шифрование строк и многослойную защиту от отладки — набор приёмов, который обычно встречается у более продвинутых семейств малвари, а не у рядовых стилеров, штампуемых десятками в месяц.
В Jamf отметили ещё одну деталь: «Цепочка доставки CrashStealer сделана с реальной заботой о деталях: вместо голой неподписанной приманки операторы выставляют вперёд подписанный и нотаризованный дроппер, который проходит Gatekeeper, прежде чем тихо загрузить, повторно подписать и запустить полезную нагрузку». Дистрибутив распространяется в виде образа диска с именем «Werkbit.app», и как сам образ, так и бинарник нотаризованы под действующим Developer ID — Emil Grigorov, идентификатор WWB7JA7AQV.
Заражение начинается с того, что жертва монтирует образ диска и видит экран установки с инструкцией: щёлкнуть правой кнопкой по приложению и выбрать «Открыть», чтобы обойти стандартные предупреждения безопасности macOS. После запуска исполняемый файл с названием «veltod» обращается к репозиторию на GitHub — — и забирает оттуда файл «sys.cache». Из этого файла извлекается команда curl, которая подтягивает шелл-скрипт, работающий как загрузчик следующей стадии. Скрипт скачивает файл «CrashReporter.dmg» и сохраняет его во временную папку /tmp.
Дальше вредонос закрепляется в системе как LaunchAgent, включает свои механизмы противодействия анализу и показывает жертве запрос пароля. Введённые данные проверяются локально, после чего с их помощью разблокируется связка ключей входа (login keychain). Прежде чем приступить к сбору данных, малварь составляет список установленных на устройстве средств безопасности и анализа — судя по всему, чтобы понять, стоит ли опасаться обнаружения.
Список того, что CrashStealer вытаскивает с заражённой машины, впечатляет своим охватом. Из браузеров на движке Chromium он забирает учётные данные у Google Chrome, Brave, Microsoft Edge, Opera, Opera GX, Vivaldi, Chromium и корейского Naver Whale. Отдельно вредонос нацелен примерно на 80 расширений криптовалютных кошельков, среди которых М⃰Mask, Phantom, Coinbase, Trust Wallet, Rabby, OKX Wallet, Exodus, Keplr, Solflare и Backpack. Не остаются в стороне и менеджеры паролей — под удар попадают 14 таких приложений, включая 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm. Дополнительно стилер копирует файлы из папок Документы и Загрузки, а также материалы связки ключей, доступ к которой открывает ранее украденный пароль.
Всё собранное упаковывается в ZIP-архив, шифруется тем самым AES-GCM и отправляется на сервер злоумышленников по адресу 179.43.166[.]242.
Инфраструктура доставки тоже устроена не по стандартной схеме. Домен werkbit[.]io, с которого раздаётся вредонос, зарегистрирован в июне 2026 года, а доступ к загрузке защищён PIN-кодом собрания — файл выдаётся только тем, кто вводит правильный код, а не всем подряд посетителям сайта. Это указывает на то, что операторы предпочитают выборочное распространение массовому заражению, вероятно, целясь в конкретные группы пользователей через фишинговые приглашения на встречи или похожие схемы социальной инженерии.
Исследователи Jamf также обнаружили другие домены, использующие общую бэкенд-инфраструктуру с werkbit[.]io, что говорит о принадлежности CrashStealer к более крупной кампании, затрагивающей не только macOS. Сочетание нотаризованного дроппера, продвинутых техник шифрования и противодействия анализу, а также широчайшего охвата целей — от браузерных паролей до криптокошельков и менеджеров паролей — ставит CrashStealer в один ряд с наиболее технически зрелыми образцами вредоносного ПО, замеченными на платформе Apple за последнее время.