网络安全公司 Jamf Threat Labs 近期发布报告,揭露了名为 CrashStealer 的恶意软件,该软件已对苹果 Mac 用户构成威胁,其目标包括约 80 款加密货币钱包扩展和 14 款密码管理应用。在收到 Jamf 的通报后,苹果方面已采取行动,撤销了相关恶意应用程序的签名凭证。
Jamf 的研究人员在 2026 年 5 月初首次于 VirusTotal 上发现了可疑的样本,并在 2026 年 7 月初于客户的 Mac 设备上检测到了匹配的活动。
深入分析显示,此次攻击的第一阶段利用了 Werkbit 应用,该应用拥有 Emil Grigorov 的有效 Developer ID,并经过苹果公证,因此能够绕过 Gatekeeper 的“未识别开发者”警告。攻击者会诱导用户手动下载并运行 Werkbit,一旦成功,就会提示用户输入 Mac 的管理员密码,进而加载 CrashStealer 恶意程序。
研究发现,Werkbit 在启动后会从 GitHub 上的 mgothiclove / pkeys 仓库获取隐藏的指令文件。随后,它会根据这些指令,从 endpoint-api-v1 [.]com 下载并解密混淆脚本,最终获取、重新签名并启动 CrashStealer。
Jamf 还注意到,同一攻击者控制的域名上存在一个名为“Command Panel”的在线登录页面。此外,还识别出多个仿冒会议或协作工具的域名,例如 Cohezo、Cordinex、Synerix、Collabox 和 Werknova。
被感染的恶意载荷被封装在 CrashReporter.dmg 文件中。安全专家解析后发现,恶意程序会在隐藏目录 /private/tmp/.CrashReporter/ 下运行,并进一步在用户目录的 ~/Library/Caches/com.apple.crashreporter/ 下创建持久化副本。该恶意软件会请求“完全磁盘访问”权限,以及对桌面、文稿和下载文件夹的访问权限,甚至包括可移动驱动器。
该木马会弹出一个模仿 macOS 授权窗口的界面,诱骗用户输入其账户密码。Jamf 指出,CrashStealer 利用了苹果的合法 dscl 命令在本地验证用户输入的密码,一旦验证成功,它便会解锁 Mac 的登录钥匙串,并将 login.keychain-db 文件复制到隐藏的临时目录中。
根据博文内容,该恶意代码还针对 Chrome、Edge、Brave、Firefox、Opera、Vivaldi 等浏览器,搜集其配置文件、Cookie、已保存的登录凭证以及扩展数据。同时,它还影响了大约 80 款加密货币钱包扩展和以下 14 款密码管理器:
- 1Password
- Bitwarden
- LastPass
- Dashlane
- Keeper
- KeePassXC
- NordPass
資深玩家
3小时前东升国际专注即時的遊戲資訊與活動更新,为用户提供专业可靠的体验。
遊戲達人
1天前围绕個人化遊戲推薦與互動社群,东升国际持续打磨更优质的服务。