بدافزار جدید CrashStealer با جعل ابزار اپل، رمزهای عبور و کیف پول‌های رمزارزی کاربران مک را سرقت می‌کند.

بدافزار جدید CrashStealer با جعل ابزار اپل، رمزهای عبور و کیف پول‌های رمزارزی کاربران مک را سرقت می‌کند.

پنج‌شنبه، ۲۵ تیر ۱۴۰۵

بدافزار جدید CrashStealer با جعل ابزار اپل، رمزهای عبور و کیف پول‌های رمزارزی کاربران مک را سرقت می‌کند.

پژوهشگران امنیتی Jamf Threat Labs نسبت به ظهور بدافزار جدیدی برای macOS با نام CrashStealer هشدار داده‌اند. این بدافزار با جعل هویت ابزار گزارش خطای اپل (Crash Reporter)، تلاش می‌کند اطلاعات حساس کاربران مک را سرقت کند.

CrashStealer چگونه عمل می‌کند؟

CrashStealer در قالب یک برنامه ظاهراً معتبر با نام Werkbit توزیع شده است. این برنامه حتی دارای تأییدیه (Notarization) اپل بوده و به همین دلیل بدون هشدار از سد سیستم امنیتی Gatekeeper عبور می‌کند.

پس از نصب، فایل دیگری با نام CrashReporter.app اجرا می‌شود که کاملاً شبیه ابزار داخلی گزارش خطای macOS طراحی شده است تا کاربر به آن اعتماد کند.

چه اطلاعاتی را سرقت می‌کند؟

این بدافزار طیف گسترده‌ای از اطلاعات حساس را جمع‌آوری می‌کند، از جمله:

  • رمزهای ذخیره‌شده در مرورگرها

  • اطلاعات Keychain مک

  • داده‌های بیش از ۸۰ افزونه کیف پول رمزارزی

  • اطلاعات ۱۴ نرم‌افزار مدیریت رمز عبور مانند:

    • 1Password

    • LastPass

    • Dashlane

  • فایل‌های موجود در پوشه‌های Documents و Downloads

روش فریب کاربر

پس از اجرا، برنامه از کاربر درخواست Full Disk Access می‌کند و سپس پنجره‌ای کاملاً مشابه درخواست رمز عبور اصلی macOS نمایش می‌دهد.

اگر کاربر رمز مک خود را وارد کند، بدافزار به اطلاعات موجود در Login Keychain دسترسی پیدا کرده و آن‌ها را پس از رمزگذاری با الگوریتم AES-256-GCM به سرور مهاجم ارسال می‌کند.

چرا این بدافزار خطرناک است؟

به گفته Jamf، CrashStealer نسبت به بسیاری از بدافزارهای مشابه با دقت بیشتری طراحی شده و از روش‌های پیشرفته‌ای برای مخفی ماندن استفاده می‌کند. همین موضوع باعث شده تشخیص آن دشوارتر از Infostealerهای رایج باشد.

اپل چه اقدامی انجام داده است؟

اپل پس از دریافت گزارش Jamf، گواهی امضای دیجیتال برنامه Werkbit را باطل کرده است؛ بنابراین مسیر فعلی انتشار این بدافزار مسدود شده است. با این حال، محققان هشدار می‌دهند که توسعه‌دهندگان این بدافزار می‌توانند در آینده نسخه‌های جدیدی از آن را منتشر کنند.

چگونه از خود محافظت کنیم؟

برای جلوگیری از آلودگی به CrashStealer:

  • نرم‌افزارها را فقط از منابع معتبر دانلود کنید.

  • به یاد داشته باشید که Crash Reporter یک ابزار داخلی macOS است و نیازی به دانلود ندارد.

  • اگر برنامه‌ای بلافاصله پس از اجرا رمز عبور سیستم را درخواست کرد، ابتدا از معتبر بودن آن اطمینان حاصل کنید.

  • بدون بررسی، مجوز Full Disk Access را به برنامه‌های ناشناس ندهید.