CrashStealer 假扮 Mac crash report:Werkbit app 點樣偷密碼
3C 產品

CrashStealer 假扮 Mac crash report:Werkbit app 點樣偷密碼

圖片:via 9to5Mac — https://9to5mac.com/2026/07/15/psa-beware-of-fake-mac-crash-reports-out-to-steal-your-passwords-crypto-wallets-more/
TechLab 編輯部(譯)·

Apple 已撤銷涉事憑證,但 notarization 唔等於安全保證

假會議 app 點樣入 Mac

Jamf Threat Labs 5 月初喺 VirusTotal 見到可疑樣本,到 7 月初喺實際 Mac 環境偵測到同款 payload,命名為 CrashStealer。入口係假企業會議工具 Werkbit,用戶要有 meeting PIN、下載 DMG 同親手開 app,攻擊鏈先會行落去,呢次冇 zero-click。PIN 點派、受害規模幾大,暫時都未公開。

「Werkbit Setup」個 DMG 當時有有效 Developer ID 同 Apple notarization ticket,所以過到 Gatekeeper。開啟後,佢經 GitHub 攞指令,再去攻擊者 server 下載 CrashReporter.dmg,喺隱藏暫存路徑啟動 payload。下載頁用 meeting PIN 把關,亦減少一般訪客同自動掃描撞到佢,令惡意 app 有多啲時間避開偵測。

Jamf 顯示 Werkbit dropper 嘅 Developer ID 同 notarization 簽名資料

圖片:Jamf Threat Labs

CrashReporter 個樣熟,密碼提示有古怪

CrashReporter.app 用咗似 Apple 嘅圖示、名稱同 bundle ID,再彈出仿 macOS 原生授權視窗,寫住「System Preferences wants to make changes」同索取 Mac 登入密碼。輸啱後,佢用內置 dscl 工具核實,再解鎖 login Keychain 攞資料。Apple 對 crash analytics 嘅說明入面冇呢個密碼步驟;crash report 無端索取登入密碼,應即刻 Cancel。不過唔使見到正常 app crash 都當係惡意視窗,仲要睇埋之前有冇開過可疑 app。

Jamf 動態分析見到佢會搜集瀏覽器資料,亦瞄準約 80 款加密錢包 extension 同 14 款密碼管理器,包括 MetaMask、Phantom、1Password、Bitwarden 同 KeePassXC;Documents、Downloads 同已解鎖嘅 login Keychain 都喺範圍內。收集物會加密打包送走,佢仲會裝 LaunchAgent,等登入時再開。目標清單唔代表每個 vault 主密碼都已破解,不過開過 Werkbit 再交出正確 Mac 密碼,就應該當瀏覽器 session、Keychain 同相關帳戶資料有外洩可能。

假 Werkbit Setup DMG 引導用戶開啟 Werkbit app

圖片:Jamf Threat Labs

Notarization 只係一層防線

Apple 官方講明,notarization 會掃 app 有冇已知 malware,掃唔到先發 ticket,之後確認有問題就可以撤銷。CrashStealer 踩中嘅係時間差:Werkbit 過到檢查,真正 payload 喺開 app 後先下載。Apple 據報已撤銷涉事 Developer ID,已知 Werkbit build 而家應該會俾 Gatekeeper 擋住。不過已經執行嘅 payload 唔會自動消失,攻擊者亦可以轉 app 名、網域或簽名再試。

平時下載 Mac app,App Store 或開發商官網仍然最穩陣。陌生會議邀請叫你去新網域、輸入 PIN、下載 DMG,再特登教你 right-click Open,幾個訊號一齊出現就應停手,另用電話或公司通訊工具核實對方。right-click Open 本身唔代表有毒,notarized 亦唔代表絕對可信;授權視窗提到 CrashReporter 或 System Preferences,卻同你啱啱做緊嘅事對唔上,先取消,再由 System Settings 自己檢查 Privacy & Security。

CrashStealer 仿 macOS 授權視窗索取 Mac 登入密碼

圖片:Jamf Threat Labs

懷疑中招,視乎你做到邊一步處理

只下載 DMG、冇開 app,可以刪檔、清空垃圾桶、更新 macOS 同用可信安全軟件掃描。開過 Werkbit 但冇輸入密碼,部機已經跑過可疑 dropper,應先熄 Wi‑Fi 或拔走網線,唔好再登入帳戶,交畀公司 IT 或可信技術人員檢查。輸入過 Mac 密碼,就當部機同憑證已受影響;公司機先搵 IT,私人機如無法確認清理乾淨,清機重裝 macOS 會穩妥過只刪可疑檔案。

換密碼要喺另一部乾淨裝置做,由電郵、Apple Account、密碼管理器開始,再到銀行、工作同社交帳戶;同時移除唔認得嘅登入裝置、登出所有 session,重設可疑 app password、API key 同 2FA recovery code。1Password 用戶可撤銷涉事 Mac 同重新產生 Secret Key;Bitwarden 用戶要改 master password、撤銷 session,再考慮輪換 encryption key。淨係改 vault 主密碼,已抄走嘅網站密碼唔會自動失效,重要登入資料仍要逐個換。

加密錢包要分開處理。MetaMask 或其他 wallet 嘅 seed phrase、private key 有機會外洩,就要喺乾淨裝置開全新 wallet 同 recovery phrase,搬走剩低資產,之後停用舊 wallet。撤銷 token approval 可以收返 smart contract 權限,但修補唔到已外洩嘅 key;亦唔好用懷疑中毒嗰部 Mac 產生新 seed。Apple 撤銷憑證降低咗已知樣本嘅即時風險,開過 Werkbit 又輸入過密碼嘅人仍然要盡快處理。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook