CrashStealer攻击披露:针对苹果Mac用户

时间:2026-07-17 06:19:18来源:沃创动力资讯网 作者:娱乐

IT之家 7 月 14 日讯—— 网络安全巨头 Jamf Threat Labs 发布最新威胁情报,攻击揭露了名为 CrashStealer的披露苹果高级恶意软件攻击。该攻击精准针对 macOS 用户,针对导致约 80 个加密货币钱包扩展14 款主流密码管理器遭窃。攻击在 Jamf 通报后,披露苹果苹果公司已紧急撤销了相关恶意应用的针对签名凭证。

攻击时间线与发现过程

Jamf 研究团队于 2026 年 5 月初在 VirusTotal 平台上捕获到可疑样本,攻击并在 2026 年 7 月初确认其已在客户 Mac 设备上大规模活跃。披露苹果

攻击链详解:从合法签名到权限窃取

专家深入分析揭示了该攻击链的针对复杂运作机制:

  1. 初始投递:攻击者利用名为 Werkbit的应用进行分发。该应用拥有与 Emil Grigorov关联的攻击有效 Apple Developer ID,并经过苹果公证(Notarization),披露苹果从而成功绕过 Gatekeeper 对“未识别开发者”的针对警告。
  2. 社会工程学诱导:攻击者诱导用户手动下载并启动 Werkbit。攻击
  3. 凭证窃取:在后续载荷投递过程中,披露苹果恶意程序会伪装成系统提示,针对诱导用户输入有效的 Mac 登录密码。一旦获取密码,CrashStealer 恶意载荷随即加载。

动态载荷下载与基础设施

Werkbit 启动后,攻击者通过以下路径部署核心恶意软件:
* 从 GitHub 仓库 mgothiclove/pkeys获取隐藏指令文件。
* 根据指令从域名 endpoint-api-v1[.]com下载混淆后的脚本。
* 最终获取、重新签名并启动 CrashStealer

此外,Jamf 发现攻击者控制着一个名为 “Command Panel”的在线登录页面,并注册了多个仿冒会议或协作工具域名,包括 Cohezo、Cordinex、Synerix、CollaboxWerknova,以增强欺骗性。

持久化机制与高危权限

CrashStealer 恶意载荷封装在 CrashReporter.dmg文件中。安全专家解析发现其具有极强的隐蔽性和持久化能力:

  • 隐藏运行:程序首先在隐藏目录 /private/tmp/.CrashReporter/下运行。
  • 持久化驻留:随后在 ~/Library/Caches/com.apple.crashreporter/下安装持久化副本。
  • 高危权限请求:恶意程序请求覆盖“完全磁盘访问权限”(Full Disk Access),并获取对桌面、文稿、下载文件夹及可移动驱动器的访问权。

数据窃取核心:破解钥匙串与浏览器数据

该木马通过弹出仿 macOS 授权窗口,进一步诱导用户输入账户密码。Jamf 指出,CrashStealer 利用苹果合法的 dscl命令在本地校验密码,随后执行以下高危操作:

  1. 解锁钥匙串:解锁 Mac 登录钥匙串。
  2. 窃取凭证:将 login.keychain-db复制到隐藏暂存目录。

IT之家援引博文分析,代码还广泛扫描并窃取以下浏览器数据:
* 目标浏览器:Chrome、Edge、Brave、Firefox、Opera、Vivaldi。
* 窃取内容:配置文件、Cookie、已保存的登录信息以及扩展数据。

受影响的主要密码管理器

此次攻击对以下 14 款密码管理器造成了严重影响:

  1. 1Password
  2. Bitwarden
  3. LastPass
  4. Dashlane
  5. Keeper
  6. KeePassXC
  7. NordPass
  8. ...(及其他相关加密钱包扩展)

安全建议:Mac 用户应定期检查系统权限设置,警惕任何要求输入密码的弹窗,并及时更新 macOS 系统及浏览器插件。

相关内容