
CrashStealer 假扮 Mac crash report:Werkbit app 點樣偷密碼
Apple 已撤銷涉事憑證,但 notarization 唔等於安全保證
假會議 app 點樣入 Mac
Jamf Threat Labs 5 月初喺 VirusTotal 見到可疑樣本,到 7 月初喺實際 Mac 環境偵測到同款 payload,命名為 CrashStealer。入口係假企業會議工具 Werkbit,用戶要有 meeting PIN、下載 DMG 同親手開 app,攻擊鏈先會行落去,呢次冇 zero-click。PIN 點派、受害規模幾大,暫時都未公開。
「Werkbit Setup」個 DMG 當時有有效 Developer ID 同 Apple notarization ticket,所以過到 Gatekeeper。開啟後,佢經 GitHub 攞指令,再去攻擊者 server 下載 CrashReporter.dmg,喺隱藏暫存路徑啟動 payload。下載頁用 meeting PIN 把關,亦減少一般訪客同自動掃描撞到佢,令惡意 app 有多啲時間避開偵測。

圖片:Jamf Threat Labs
CrashReporter 個樣熟,密碼提示有古怪
CrashReporter.app 用咗似 Apple 嘅圖示、名稱同 bundle ID,再彈出仿 macOS 原生授權視窗,寫住「System Preferences wants to make changes」同索取 Mac 登入密碼。輸啱後,佢用內置 dscl 工具核實,再解鎖 login Keychain 攞資料。Apple 對 crash analytics 嘅說明入面冇呢個密碼步驟;crash report 無端索取登入密碼,應即刻 Cancel。不過唔使見到正常 app crash 都當係惡意視窗,仲要睇埋之前有冇開過可疑 app。
Jamf 動態分析見到佢會搜集瀏覽器資料,亦瞄準約 80 款加密錢包 extension 同 14 款密碼管理器,包括 MetaMask、Phantom、1Password、Bitwarden 同 KeePassXC;Documents、Downloads 同已解鎖嘅 login Keychain 都喺範圍內。收集物會加密打包送走,佢仲會裝 LaunchAgent,等登入時再開。目標清單唔代表每個 vault 主密碼都已破解,不過開過 Werkbit 再交出正確 Mac 密碼,就應該當瀏覽器 session、Keychain 同相關帳戶資料有外洩可能。

圖片:Jamf Threat Labs
Notarization 只係一層防線
Apple 官方講明,notarization 會掃 app 有冇已知 malware,掃唔到先發 ticket,之後確認有問題就可以撤銷。CrashStealer 踩中嘅係時間差:Werkbit 過到檢查,真正 payload 喺開 app 後先下載。Apple 據報已撤銷涉事 Developer ID,已知 Werkbit build 而家應該會俾 Gatekeeper 擋住。不過已經執行嘅 payload 唔會自動消失,攻擊者亦可以轉 app 名、網域或簽名再試。
平時下載 Mac app,App Store 或開發商官網仍然最穩陣。陌生會議邀請叫你去新網域、輸入 PIN、下載 DMG,再特登教你 right-click Open,幾個訊號一齊出現就應停手,另用電話或公司通訊工具核實對方。right-click Open 本身唔代表有毒,notarized 亦唔代表絕對可信;授權視窗提到 CrashReporter 或 System Preferences,卻同你啱啱做緊嘅事對唔上,先取消,再由 System Settings 自己檢查 Privacy & Security。

圖片:Jamf Threat Labs
懷疑中招,視乎你做到邊一步處理
只下載 DMG、冇開 app,可以刪檔、清空垃圾桶、更新 macOS 同用可信安全軟件掃描。開過 Werkbit 但冇輸入密碼,部機已經跑過可疑 dropper,應先熄 Wi‑Fi 或拔走網線,唔好再登入帳戶,交畀公司 IT 或可信技術人員檢查。輸入過 Mac 密碼,就當部機同憑證已受影響;公司機先搵 IT,私人機如無法確認清理乾淨,清機重裝 macOS 會穩妥過只刪可疑檔案。
換密碼要喺另一部乾淨裝置做,由電郵、Apple Account、密碼管理器開始,再到銀行、工作同社交帳戶;同時移除唔認得嘅登入裝置、登出所有 session,重設可疑 app password、API key 同 2FA recovery code。1Password 用戶可撤銷涉事 Mac 同重新產生 Secret Key;Bitwarden 用戶要改 master password、撤銷 session,再考慮輪換 encryption key。淨係改 vault 主密碼,已抄走嘅網站密碼唔會自動失效,重要登入資料仍要逐個換。
加密錢包要分開處理。MetaMask 或其他 wallet 嘅 seed phrase、private key 有機會外洩,就要喺乾淨裝置開全新 wallet 同 recovery phrase,搬走剩低資產,之後停用舊 wallet。撤銷 token approval 可以收返 smart contract 權限,但修補唔到已外洩嘅 key;亦唔好用懷疑中毒嗰部 Mac 產生新 seed。Apple 撤銷憑證降低咗已知樣本嘅即時風險,開過 Werkbit 又輸入過密碼嘅人仍然要盡快處理。
參考來源
- 9to5Mac — PSA: Beware of fake Mac crash reports out to steal your passwords, crypto wallets, more — original report
- Jamf Threat Labs:CrashStealer macOS infostealer analysis — 原始技術分析,詳列攻擊鏈、密碼提示、資料目標、持續運行方法同入侵指標。
- Apple Platform Security:Protecting against malware in macOS — 解釋 Gatekeeper、notarization、XProtect 同撤銷 ticket 點樣運作。
- Apple Support:Share analytics information from your Mac with Apple — 核對正常 Mac crash analytics 會收集咩資料,同 Apple 點樣處理報告。
- Apple Support:If you think your Apple Account has been compromised — 提供改密碼、檢查帳戶資料同移除陌生裝置嘅官方步驟。
- 1Password Support:If your device was lost or stolen — 提供撤銷裝置同重新產生 Secret Key 嘅官方方法。
- Bitwarden:Security FAQs — 提供改 master password、撤銷 session 同懷疑 vault 外洩後嘅處理建議。
- MetaMask Help Center:I’ve been hacked or scammed — 提供建立新 wallet、轉移資產同停用受影響 recovery phrase 嘅官方指引。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







