Zavřít reklamu

Bezpečnostní experti z Jamf Threat Labs upozornili na nový škodlivý software pro macOS s názvem CrashStealer. Na první pohled působí velmi nenápadně – vydává se totiž za systémový nástroj Applu pro hlášení pádů aplikací. Ve skutečnosti ale jeho cílem není pomoci uživateli, nýbrž získat přístup k citlivým datům, uloženým heslům i kryptoměnovým peněženkám.

CrashStealer podle odborníků patří mezi nejpropracovanější malware svého druhu. Nezaměřuje se pouze na jediný typ dat, ale snaží se získat co nejširší přístup k osobním informacím. Zaměřuje se na údaje uložené v internetových prohlížečích, správce hesel, přihlašovací údaje v Klíčence macOS i rozšíření pro více než osmdesát různých kryptoměnových peněženek.

Nebezpečí spočívá především v tom, že škodlivý software využívá důvěryhodně vypadající instalaci. Poprvé byl objeven v aplikaci s názvem Werkbit, která byla dokonce opatřena oficiální notářskou kontrolou Applu. To znamená, že ji bezpečnostní mechanismus Gatekeeper při spuštění neblokoval, protože se tvářila jako ověřená aplikace. Po instalaci se do systému stáhne falešná aplikace CrashReporter.app. Název není náhodný – Apple totiž vlastní nástroj Crash Reporter používá přímo v macOS k odesílání informací o pádech aplikací. Mnoho uživatelů proto nemusí vůbec zpozornět a mohou nabýt dojmu, že jde o běžnou systémovou součást.

Ve chvíli, kdy aplikaci spustíte, požádá o úplný přístup k disku údajně kvůli správě systému. Následně zobrazí dialog pro zadání systémového hesla, který je téměř nerozeznatelný od běžných autorizačních oken macOS. Pokud uživatel heslo zadá, malware získá přístup k přihlašovací Klíčence a začne shromažďovat další citlivé údaje.

Podle analýzy Jamf navíc útočníci věnovali mimořádnou pozornost tomu, aby jejich software působil co nejméně nápadně. Ukradená data jsou šifrována pomocí algoritmu AES-256-GCM s využitím knihoven přímo z macOS a teprve poté odeslána na servery útočníků. Malware také prohledává složky Dokumenty a Stažené soubory, kde hledá další potenciálně zajímavé informace.

Apple byl o existenci CrashStealeru informován už po jeho prvním odhalení letos v květnu. Poté, co bezpečnostní experti zaznamenali jeho aktivní šíření během července, společnost zneplatnila podpis aplikace Werkbit. Konkrétní cesta, kterou se malware šířil, je tak nyní zablokována. To ale neznamená, že je hrozba definitivně pryč. Autoři mohou kdykoliv využít jinou aplikaci nebo jiný způsob distribuce. Zajímavostí navíc je, že původní varianta byla chráněna instalačním PIN kódem, což naznačuje, že nešlo o masovou kampaň, ale spíše o cílené útoky na konkrétní osoby.

Případ zároveň ukazuje, že ani systém notářského ověřování aplikací není stoprocentní zárukou bezpečnosti. Přestože Apple všechny podepsané aplikace automaticky kontroluje na přítomnost známého škodlivého kódu, sofistikovanější malware dokáže některými kontrolami projít.

Nejlepší ochranou proto zůstává obezřetnost. Vestavěný Crash Reporter je součástí macOS a nikdy se nestahuje jako samostatná aplikace z internetu. Jakmile tedy narazíte na program, který se za něj vydává, nebo vás hned po spuštění žádá o zadání systémového hesla či úplný přístup k disku, je velmi pravděpodobné, že nejde o legitimní software. Právě v takové chvíli je lepší instalaci okamžitě ukončit a aplikaci odstranit, než riskovat ztrátu citlivých dat nebo přístupů k vašim účtům.

.