Jamf Threat Labs的安全研究人员在五月初注意到一个尚在开发中的信息窃取器,当时它还没完全成型,但仅仅两个月后,到七月初这东西已经进入活跃使用阶段。这个被命名为“CrashStealer”的恶意软件,替那些还抱着“Mac不会中毒”想法的用户又上了一课——它不但专门瞄准macOS,而且通过冒充苹果自家的崩溃报告工具来骗取你的密码、浏览器数据以及加密货币钱包信息,手法比过去的同类威胁都要狡诈得多。
整个攻击链条有一个看似人畜无害的起点:一款叫Werkbit的会议应用。Jamf在分析报告中指出,这个投递载体之所以危险,是因为它看起来十足合法——在研究人员跟踪期间,它居然同时持有苹果的公证票和有效的开发者ID。换句话说,这玩意能以正规软件的身份绕过macOS的多层防护,一般用户下载安装时基本不会触发任何警报。好在Jamf已经把问题通报给苹果,AppleInsider随后证实苹果已撤销相关开发者凭证,至少在分发渠道上卡住了它的脖子。
恶意软件一旦通过Werkbit成功落地,真正的杀招就来了。它会偷偷下载一个名为CrashReporter.dmg的磁盘映像,里面藏着一个叫CrashReporter.app的应用包。这个应用从图标到界面都在刻意模仿苹果官方工具,当你看到它弹出“系统偏好设置想要进行更改”的对话框,并配上熟悉的系统默认插图时,大多数人会想都没想就输入密码。也正是这一步,让攻击者拿到了几乎全部家当的访问权——后面的事儿就像在自家保险柜里翻找钞票一样顺畅。
接下来的数据收割环节,CrashStealer的“食谱”铺得相当开。它不满足于只偷一种类型的信息,而是像进超市扫货一样,把你能想到的隐私热区都扫了一遍。具体的窃取目标可以分成三个板块,我们逐一拆开看看:
浏览器数据——7款主流浏览器全部覆盖:Brave、Chrome、Chromium、Edge、NAVER Whale、Opera及Opera GX、Vivaldi。从登录凭证到浏览记录再到自动填充的表单信息,只要浏览器里存着的,它都想打包带走。
加密货币钱包——10款钱包无一幸免:Backpack、Coinbase Wallet、Exodus、Keplr、MetaMask、OKX Wallet、Phantom、Rabby、Trust Wallet、Solflare。对币圈玩家来说,损失很可能直接就是账户归零,因为私钥和助记词一旦被拖走,链上资产就跟你永别了。
密码管理器——9款常用工具的数据库被锁定:1Password、Bitwarden、Dashlane、Enpass、KeePassXC、Keeper、LastPass、NordPass、RoboForm。这些本应是安全最后一道防线的密码库,在恶意软件获取到系统权限后反而成了攻击者最省力的情报汇总中心。
说实话,这名单列出来就像一份“数字生活核心资产总表”,而CrashStealer的目标就是用一次授权对话框,把所有资产一次性远程移交。Jamf在分析里特别强调,这种将社会工程学伪装与系统级提权绑在一起的设计,表明开发者在信息窃取领域的研究已经相当深入,而且整个恶意软件的成熟速度很快,从早期样本到成品只用了两个月左右。
苹果撤销开发者凭证的行为能暂时阻止该软件通过正规渠道分发,但这类攻击暴露出两个老生常谈却一直没被补上的问题:一是用户对系统级密码请求的习惯性点击,二是即便有公证机制,恶意软件仍能混过审核。关于第一点,别指望操作系统替你判断什么时候该输密码,任何来路不明的“系统偏好设置”弹窗,多停三秒钟核对一下当前正在运行的应用,就能避开大半翻车。至于第二点,苹果事后拉黑的速度确实不慢,但是否该在审核阶段就加强对app内含隐藏下载、磁盘映像挂载行为的检测,显然是后续安全更新需要重视的方向。
Jamf的报告里还提到一个细思极恐的细节:CrashReporter.app在设计上利用了苹果崩溃报告工具很少被普通用户接触的认知盲区,多数人根本不清楚正版的崩溃报告界面长什么样,因此假冒版本几乎不会招致怀疑。这给所有Mac用户提了个醒——系统自带的一些低频工具反而可能成为攻击者用来伪装最好的皮套。与其等着每次安全厂商帮我们兜底,不如现在就把规则提前放脑中:凡是最近没安装软件却突然弹出管理员密码请求,凡是从来没用过的系统工具主动跳出来要权限,都先按否,查一圈再说。
总结一下防范清单:卸载任何不明来路的Werkbit应用,检查系统中是否存在名为CrashReporter且无法确认来源的应用,定期查看密码管理器及钱包有无异常登录或授权。我们强烈建议追踪Jamf的完整技术分析,里面有关于数据回传服务器和持久化机制的更底层细节。至于日常使用Mac的用户,别把苹果系统的安全神话太当回事最实在——毕竟这一次,连“系统信任”这四个字都被人偷去当垫脚石了。
热门跟贴