پنجشنبه، ۲۵ تیر ۱۴۰۵

پژوهشگران امنیتی Jamf Threat Labs نسبت به ظهور بدافزار جدیدی برای macOS با نام CrashStealer هشدار دادهاند. این بدافزار با جعل هویت ابزار گزارش خطای اپل (Crash Reporter)، تلاش میکند اطلاعات حساس کاربران مک را سرقت کند.
CrashStealer در قالب یک برنامه ظاهراً معتبر با نام Werkbit توزیع شده است. این برنامه حتی دارای تأییدیه (Notarization) اپل بوده و به همین دلیل بدون هشدار از سد سیستم امنیتی Gatekeeper عبور میکند.
پس از نصب، فایل دیگری با نام CrashReporter.app اجرا میشود که کاملاً شبیه ابزار داخلی گزارش خطای macOS طراحی شده است تا کاربر به آن اعتماد کند.
این بدافزار طیف گستردهای از اطلاعات حساس را جمعآوری میکند، از جمله:
رمزهای ذخیرهشده در مرورگرها
اطلاعات Keychain مک
دادههای بیش از ۸۰ افزونه کیف پول رمزارزی
اطلاعات ۱۴ نرمافزار مدیریت رمز عبور مانند:
1Password
LastPass
Dashlane
فایلهای موجود در پوشههای Documents و Downloads
پس از اجرا، برنامه از کاربر درخواست Full Disk Access میکند و سپس پنجرهای کاملاً مشابه درخواست رمز عبور اصلی macOS نمایش میدهد.
اگر کاربر رمز مک خود را وارد کند، بدافزار به اطلاعات موجود در Login Keychain دسترسی پیدا کرده و آنها را پس از رمزگذاری با الگوریتم AES-256-GCM به سرور مهاجم ارسال میکند.
به گفته Jamf، CrashStealer نسبت به بسیاری از بدافزارهای مشابه با دقت بیشتری طراحی شده و از روشهای پیشرفتهای برای مخفی ماندن استفاده میکند. همین موضوع باعث شده تشخیص آن دشوارتر از Infostealerهای رایج باشد.
اپل پس از دریافت گزارش Jamf، گواهی امضای دیجیتال برنامه Werkbit را باطل کرده است؛ بنابراین مسیر فعلی انتشار این بدافزار مسدود شده است. با این حال، محققان هشدار میدهند که توسعهدهندگان این بدافزار میتوانند در آینده نسخههای جدیدی از آن را منتشر کنند.
برای جلوگیری از آلودگی به CrashStealer:
نرمافزارها را فقط از منابع معتبر دانلود کنید.
به یاد داشته باشید که Crash Reporter یک ابزار داخلی macOS است و نیازی به دانلود ندارد.
اگر برنامهای بلافاصله پس از اجرا رمز عبور سیستم را درخواست کرد، ابتدا از معتبر بودن آن اطمینان حاصل کنید.
بدون بررسی، مجوز Full Disk Access را به برنامههای ناشناس ندهید.