
CrashStealer 扮 Apple 工具偷 Mac 密碼:見到呢兩種要求即刻停手
已認證 app 都可能走漏眼,Werkbit 樣本憑證現已撤銷
Jamf Threat Labs 發現一款名為 CrashStealer 嘅 macOS 資料竊取程式。佢會扮成 Apple 內置 Crash Reporter,目標包括瀏覽器資料、login keychain、文件、下載項目、加密貨幣錢包同密碼管理器。呢次值得留神,因為最初負責帶入惡意程式嘅 Werkbit 安裝 app 有有效 Developer ID,亦獲 Apple notarize,首次開啟時可以通過 Gatekeeper,外觀上可信過一般來歷不明嘅安裝檔好多。
點樣由正常安裝變成偷資料
Jamf 追查到,攻擊由「Werkbit Setup」磁碟映像開始。用家開啟入面嘅 Werkbit.app 後,佢會先經 GitHub 取得指令,再下載另一個 CrashReporter.app,放入隱藏嘅暫存目錄執行。後者用 com.apple.crashreporter 做識別名稱,又以 Apple 系統元件嘅姿態運作,跟住要求完整磁碟存取權限,理由寫成系統管理用途。Apple 真正嘅 crash reporting 元件本身已經跟 macOS 提供,毋須由陌生網站另外下載。
跟住出現嘅原生 macOS 密碼視窗,先係最易令人中招嗰步。CrashStealer 會叫用家輸入 Mac 登入密碼,再用系統工具即場驗證;輸錯就繼續問,直至攞到有效密碼。之後佢會解鎖同複製 login keychain,搜尋 Documents、Downloads、瀏覽器資料,亦會查看大約 80 款加密貨幣錢包 extension,同 14 款密碼管理器,包括 1Password、Bitwarden、LastPass、Dashlane、Keeper 同 KeePassXC。呢個名單代表佢會搵相關資料,唔代表上述產品本身有保安漏洞。
Notarize 個剔號保證到幾多
Apple 對 notarization 嘅官方解釋其實有清楚界線:系統會檢查提交版本有冇已知惡意內容。程式簽署則用嚟確認開發者身分,同檔案簽署後有冇俾人改過。兩者都係重要防線,但認證唔係逐行程式碼安全審計,仲唔會預知未入庫嘅惡意行為。CrashStealer 嘅做法正正利用呢段空檔:先用已認證嘅外殼過 Gatekeeper,再由網上拉入另一個 payload,最後靠一個幾似真嘅密碼視窗叫用家親手交出權限。
MacRumors 報道指,Apple 已經撤銷 Werkbit 使用嘅簽署憑證,所以 Jamf 描述嗰個指定安裝樣本而家唔應再暢通無阻。不過撤銷憑證只係截斷已知入口,同一批攻擊者仍可轉域名、換開發者帳戶或者改包裝。Jamf 又發現下載頁要輸入 meeting PIN 先攞到安裝檔,呢點較似針對指定人士嘅誘餌;現有資料未足以證明 CrashStealer 已經大規模感染 Mac,毋須見到個名就當成全面爆發。
一開 app 就問密碼,應該點做
陌生 app 首次開啟就要求 Mac 系統密碼、完整磁碟存取權限,或者叫你用右鍵揀「Open」繞過警告,先停低核對開發者官網同下載來源。Crash Reporter、系統更新或「修復工具」由第三方安裝檔提供,同樣係明顯紅旗。唔肯定嘅話,直接退出程式,去「系統設定 > 私隱與保安」檢查完整磁碟存取權限,亦唔好為咗裝到個 app 而關閉 Gatekeeper。
如果已經輸入密碼或批出權限,先中斷網上連線,保留檔案名同下載來源,再用另一部可信裝置更改 Mac 登入密碼、主要電郵、工作帳戶同密碼管理器憑證;有公司管理嘅 Mac 就即刻通知 IT。login keychain 可能已經俾人複製,淨係改 Mac 密碼未必夠;重要帳戶要逐個換密碼,兼登出其他裝置。用過加密貨幣錢包嘅話,要檢查交易,亦可考慮將資產轉去用全新 seed phrase 開嘅錢包。
參考來源
- MacRumors — CrashStealer Malware Impersonates Apple Tool to Steal Mac Passwords and Crypto — original report
- CrashStealer: C++ macOS Infostealer Posing as Crash Reporter — Jamf Threat Labs 原始技術研究,核對感染流程、權限要求、資料收集範圍、針對軟件名單同攻擊指標。
- Gatekeeper and runtime protection in macOS — Apple 官方安全指南,說明 Gatekeeper、Developer ID 同 notarization 會檢查已知惡意內容。
- Safely open apps on your Mac — Apple 官方操作指引,說明從 App Store 以外安裝 app 時嘅簽署、認證同憑證撤銷檢查。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







