
CrashStealer 扮系統工具偷密碼:Mac 彈窗點分真假同點善後
Jamf 發現攻擊已經出現,受害數字同地區暫時未明
呢單攻擊點入到部 Mac
iThome 報道,Jamf Threat Labs 2026 年 5 月頭喺 VirusTotal 發現仍似開發中嘅 CrashStealer,到 7 月頭再錄得實際攻擊個案。Jamf 暫時冇公布受害數字、地區分佈,亦未完全交代惡意程式經咩渠道散播;現階段只可以確認已經有 Mac 中招,未夠資料話係大規模爆發。
根據 Jamf 原始分析,入口係扮會議協作工具嘅 Werkbit Setup。佢有有效 Developer ID 同 Apple 公證,首次開啟可以通過 Gatekeeper,跟住先喺背景下載假 CrashReporter.app。Jamf 冇發現 zero-click 階段,受害者仍然要親自下載、打開,再輸入有效 Mac 密碼。Apple 內置 Crash Reporter 本身冇漏洞證據,研究見到嘅係冒名 app 同社交工程。Apple 官方安全文件亦講明,公證會檢查已知惡意內容,發現問題後仍可撤銷授權。

圖片:Jamf Threat Labs
認假工具,來源重要過個樣
正常 app 突然退出時,系統對話框會隨即出現;Apple 使用指引亦叫用戶直接喺對話框撳 Reopen。Crash Reporter 由 macOS 內置,唔使經會議連結另行下載 CrashReporter.dmg。收到陌生 DMG、安裝畫面叫你右擊 Open,或者所謂 crash 工具要求 Full Disk Access、Documents 同 Downloads 權限,應該即刻停手。若果檔案跟私人 meeting PIN 一齊送到,用另一個聯絡渠道向邀請人核實。
真 macOS 喺你改系統設定、安裝預期軟件時都可能問密碼,單靠鎖頭圖案、字款同視窗似唔似 Apple 判斷唔到。睇返三樣:你啱啱有冇主動做過相關操作、邊個 app 發出要求、佢點解要讀全碟。有一樣對唔上就按 Cancel。亦唔好輸入錯密碼試佢;Jamf 發現 CrashStealer 會喺本機驗證,錯咗就再問,直至收到真密碼。

圖片:Jamf Threat Labs
佢會搬走咩資料
攞到真密碼後,CrashStealer 會解鎖登入 Keychain、複製資料庫,再掃 Chromium 同 Firefox 嘅已儲存登入、Cookie、profile 同 extension data。Jamf 動態分析亦見到大約 80 款加密貨幣 wallet extension、14 款密碼管理器同 Documents、Downloads 入面嘅檔案喺目標清單。呢啲係惡意程式嘅收集能力,唔代表每部中招 Mac 嘅所有保險庫都成功解密。有效 Cookie 俾人攞走後,攻擊者有機會沿用登入 session;Google Workspace 官方說明稱呢種情況做 session hijacking,所以改密碼之餘亦要撤銷 session。CrashStealer 上傳前仲會加密打包資料,嗰層加密只係幫佢收埋內容,唔會幫受害者擋住外洩。

圖片:Jamf Threat Labs
懷疑中招,就按自己去到邊一步處理
如果只下載咗 DMG,完全冇開過入面嘅 app,按 Jamf 描述嘅攻擊鏈,payload 未有機會執行;刪檔、清空垃圾桶,再裝最新 macOS 安全更新。若果開過 Werkbit 或 CrashReporter,就先斷 Wi-Fi 或拔網線,唔好再開個檔。公司 Mac 要即刻搵 IT 或資安同事,保留現場畀佢哋查,唔好自行刪系統檔或者洗機。
輸入過真 Mac 密碼、批過 Full Disk Access,或者唔肯定自己按過咩,就要當登入資料同本機檔案已經外洩。用另一部乾淨可信嘅裝置改電郵、Apple Account、工作同財務帳戶密碼,輪換所有重用過嘅密碼,再登出其他裝置同撤銷現有 session。Apple 帳戶安全指引亦叫用戶移除唔認得嘅裝置。密碼管理器要跟供應商嘅裝置遭入侵流程,撤銷該部 Mac,再輪換保險庫內重要密碼。
加密貨幣錢包要另外處理。seed phrase 或私鑰一旦可能俾人抄走,改 app 密碼救唔返嗰條 key;應該喺乾淨裝置開全新 wallet,再搬走資產,MetaMask 官方搬遷指引亦有相關步驟。個人 Mac 完成帳戶止血同備份必要文件後,可跟 Apple 清除 Mac 指引擦除所有內容同設定;舊款 Mac 就由 Recovery 清除磁碟再重裝。Jamf 仲喺追蹤相關基建同變種,下一步要睇佢同 Apple 會唔會交代更多受影響範圍。
參考來源
- iThome — 竊資軟體CrashStealer鎖定macOS用戶,偽裝Apple當機回報工具竊取資料 — original report
- Jamf Threat Labs|CrashStealer: C++ macOS Infostealer Posing as Crash Reporter — 原始資安研究,提供攻擊鏈、密碼驗證方式、收集範圍、持續駐留方法同 IOC。
- Apple Platform Security|Protecting against malware in macOS — 解釋 Gatekeeper、公證、XProtect同惡意程式簽章撤銷機制。
- Apple Support|If an app freezes or quits unexpectedly on Mac — 交代 app 突然退出後 macOS 正常對話框同 Reopen 行為。
- Apple Support|If you think your Apple Account has been compromised — 提供更改密碼、檢查資料同移除陌生裝置嘅官方步驟。
- Google Workspace Admin Help|Investigate suspicious session cookies — 解釋 Cookie 遭竊點樣引發 session hijacking,同點解要撤銷登入 session。
- Apple Support|Erase your Mac and reset it to factory settings — 提供清除所有內容、設定同已安裝 app 嘅官方做法。
- MetaMask Help Center|How to migrate your accounts and wallet — 提供錢包可能受損後,搬去全新 seed phrase 同帳戶嘅官方指引。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







