|
IT之家 7 月 14 日讯—— 网络安全巨头 Jamf Threat Labs 发布最新威胁情报,攻击揭露了名为 CrashStealer的披露苹果高级恶意软件攻击。该攻击精准针对 macOS 用户,针对导致约 80 个加密货币钱包扩展及 14 款主流密码管理器遭窃。攻击在 Jamf 通报后,披露苹果苹果公司已紧急撤销了相关恶意应用的针对签名凭证。 
攻击时间线与发现过程Jamf 研究团队于 2026 年 5 月初在 VirusTotal 平台上捕获到可疑样本,攻击并在 2026 年 7 月初确认其已在客户 Mac 设备上大规模活跃。披露苹果 攻击链详解:从合法签名到权限窃取专家深入分析揭示了该攻击链的针对复杂运作机制: - 初始投递:攻击者利用名为 Werkbit的应用进行分发。该应用拥有与 Emil Grigorov关联的攻击有效 Apple Developer ID,并经过苹果公证(Notarization),披露苹果从而成功绕过 Gatekeeper 对“未识别开发者”的针对警告。
- 社会工程学诱导:攻击者诱导用户手动下载并启动 Werkbit。攻击
- 凭证窃取:在后续载荷投递过程中,披露苹果恶意程序会伪装成系统提示,针对诱导用户输入有效的 Mac 登录密码。一旦获取密码,CrashStealer 恶意载荷随即加载。

动态载荷下载与基础设施Werkbit 启动后,攻击者通过以下路径部署核心恶意软件: * 从 GitHub 仓库 mgothiclove/pkeys获取隐藏指令文件。 * 根据指令从域名 endpoint-api-v1[.]com下载混淆后的脚本。 * 最终获取、重新签名并启动 CrashStealer。 
此外,Jamf 发现攻击者控制着一个名为 “Command Panel”的在线登录页面,并注册了多个仿冒会议或协作工具域名,包括 Cohezo、Cordinex、Synerix、Collabox和 Werknova,以增强欺骗性。 
持久化机制与高危权限CrashStealer 恶意载荷封装在 CrashReporter.dmg文件中。安全专家解析发现其具有极强的隐蔽性和持久化能力: - 隐藏运行:程序首先在隐藏目录
/private/tmp/.CrashReporter/下运行。 - 持久化驻留:随后在
~/Library/Caches/com.apple.crashreporter/下安装持久化副本。 - 高危权限请求:恶意程序请求覆盖“完全磁盘访问权限”(Full Disk Access),并获取对桌面、文稿、下载文件夹及可移动驱动器的访问权。
数据窃取核心:破解钥匙串与浏览器数据该木马通过弹出仿 macOS 授权窗口,进一步诱导用户输入账户密码。Jamf 指出,CrashStealer 利用苹果合法的 dscl命令在本地校验密码,随后执行以下高危操作: - 解锁钥匙串:解锁 Mac 登录钥匙串。
- 窃取凭证:将
login.keychain-db复制到隐藏暂存目录。
IT之家援引博文分析,代码还广泛扫描并窃取以下浏览器数据: * 目标浏览器:Chrome、Edge、Brave、Firefox、Opera、Vivaldi。 * 窃取内容:配置文件、Cookie、已保存的登录信息以及扩展数据。 受影响的主要密码管理器此次攻击对以下 14 款密码管理器造成了严重影响: - 1Password
- Bitwarden
- LastPass
- Dashlane
- Keeper
- KeePassXC
- NordPass
- ...(及其他相关加密钱包扩展)
安全建议:Mac 用户应定期检查系统权限设置,警惕任何要求输入密码的弹窗,并及时更新 macOS 系统及浏览器插件。 |