Novi macOS malver glumi Apple alat i krade vaše lozinke: Stručnjaci izdali hitno upozorenje!
Stručnjaci za sajber bezbednost upozoravaju na pojavu novog malvera za macOS pod nazivom CrashStealer. Reč je o pretnji koja se lažno predstavlja kao Apple alat za prijavu sistemskih grešaka kako bi od korisnika dobila administratorsku lozinku. Upravo ovakav način prevare čini ga posebno opasnim, jer iskorišćava poverenje koje korisnici imaju u originalne sistemske komponente.
Kada uspe da dođe do potrebnih privilegija, malver pokušava da prikupi podatke iz Keychain-a, kao i informacije povezane sa kripto novčanicima. Njegov cilj su podaci koji mogu omogućiti pristup nalozima i digitalnoj imovini korisnika. Napadači se pritom fokusiraju na informacije koje se kasnije mogu iskoristiti za krađu identiteta, finansijsku prevaru ili preuzimanje korisničkih naloga.
Obim podataka koje CrashStealer pokušava da prikupi pokazuje da nije reč o jednostavnom malveru, već o pažljivo razvijenom alatu namenjenom krađi što većeg broja osetljivih informacija. Upravo zbog toga stručnjaci upozoravaju korisnike macOS-a da budu posebno oprezni prilikom unošenja administratorske lozinke u neočekivane sistemske prozore.
Od razvoja do prvih zabeleženih napada
Istraživači su CrashStealer prvi put primetili tokom maja, kada je izgledalo da je malver još u fazi razvoja. U tom trenutku nisu bili registrovani aktivni napadi. Analiza uzoraka tada je ukazivala da autori još testiraju njegove mogućnosti pre šire distribucije.
Situacija se promenila početkom jula, kada su otkriveni prvi slučajevi njegove upotrebe u stvarnim napadima. Time je potvrđeno da je malver prešao iz razvojne faze u aktivnu kampanju. Takav razvoj događaja pokazuje koliko brzo sajber pretnje mogu da evoluiraju od eksperimentalnog koda do ozbiljnog bezbednosnog rizika.
Vešta imitacija sistemskih komponenti
CrashStealer se maskira kao aplikacija CrashReporter.app, koristeći originalnu Apple ikonicu i odgovarajuće metapodatke kako bi izgledao kao deo operativnog sistema. Na taj način korisnicima otežava da primete da je u pitanju zlonamerni softver. Vizuelna sličnost sa legitimnim sistemskim alatima povećava verovatnoću da će korisnici poverovati da je zahtev autentičan.
Pored toga, kreira LaunchAgent pod nazivom com.apple.crashreporter.helper, čime dodatno prikriva svoje prisustvo. Prema navodima kompanije Jamf, malver se isporučuje kroz potpisani instalacioni paket „Werkbit Setup“, koji je prošao Apple-ovu notarizaciju, pa može da zaobiđe Gatekeeper bez prikazivanja upozorenja. To znači da čak ni ugrađeni bezbednosni mehanizmi operativnog sistema u ovom slučaju ne moraju odmah da prepoznaju pretnju.
Meta su lozinke, pregledači i kripto novčanici
Posle pokretanja prikazuje se lažni prozor za unos administratorske lozinke, ostavljajući utisak da korisnik odobrava legitimnu sistemsku radnju. Ako lozinka bude uneta, malver dobija pristup Keychain-u, gde se čuvaju lozinke, sertifikati, privatni ključevi, autentifikacioni tokeni i drugi osetljivi podaci. Na taj način napadači mogu da dođu do informacija koje predstavljaju osnovu digitalnog identiteta korisnika.
Osim toga, CrashStealer prikuplja lozinke i kolačiće iz Chromium pregledača i Firefoxa, kao i podatke iz više od 80 ekstenzija za kripto novčanike, uključujući MetaMask, Phantom, Coinbase Wallet, Trust Wallet i Exodus. Na meti su i menadžeri lozinki kao što su 1Password, Bitwarden, LastPass, Dashlane i NordPass. Širok spisak podržanih aplikacija ukazuje da je malver razvijen sa ciljem da prikupi što veću količinu vrednih podataka u jednom napadu.
Prikriven rad i ciljani napadi
Malver pretražuje direktorijume poput Documents i Downloads, ali namerno preskače velike multimedijalne datoteke, instalacione pakete i sistemske fascikle kako bi smanjio mogućnost da bude otkriven. Takav selektivan pristup omogućava mu da radi efikasnije i ostane neprimećen duži vremenski period.
Pre nego što ukradene informacije pošalje napadačima, CrashStealer ih šifruje AES-256-GCM algoritmom i smešta u skrivene ZIP arhive. Istraživači navode da se početna faza kampanje distribuira preko lažnog sajta registrovanog krajem juna, dok je preuzimanje moguće samo uz poseban PIN kod, što ukazuje da su napadi usmereni na unapred odabrane mete. Ovakav način distribucije sugeriše da autori kampanje pažljivo biraju žrtve umesto da malver šire nasumično.
Saveti za zaštitu od novog macOS malvera
Najvažnija mera zaštite jeste preuzimanje aplikacija isključivo sa proverenih izvora i izbegavanje instalacionih paketa koji stižu putem nepoznatih sajtova ili linkova u elektronskoj pošti. Korisnici bi trebalo da obrate pažnju na svaki zahtev za unos administratorske lozinke, posebno ako se pojavi neočekivano ili tokom instalacije softvera koji ranije nisu koristili. Redovno ažuriranje macOS-a i bezbednosnih alata dodatno smanjuje rizik od uspešnog napada.
Stručnjaci takođe preporučuju korišćenje dvofaktorske autentifikacije za sve važne naloge, kao i pouzdanog menadžera lozinki koji može da upozori na kompromitovane akreditive. Ukoliko postoji sumnja da je uređaj zaražen, potrebno je odmah promeniti lozinke za najvažnije naloge, proveriti pristupne ključeve u Keychain-u i pokrenuti detaljno skeniranje sistema. Brza reakcija može značajno da umanji posledice čak i ako je deo podataka već kompromitovan.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.