Исследователи Jamf Threat Labs обнаружили новую вредоносную программу для macOS под названием CrashStealer, которая маскируется под системный инструмент Apple и похищает пароли, данные браузеров и криптовалютные кошельки. Зловред распространялся через якобы легитимное приложение для видеоконференций Werkbit, которое прошло проверку Apple и получило нотаризацию – то есть формально не вызывает подозрений у Gatekeeper.
Первые подозрительные образцы попали в VirusTotal в начале мая 2026 года, а уже в июле Jamf зафиксировала срабатывания на Mac клиентов. Анализ показал, что первым звеном цепочки заражения стало приложение Werkbit, подписанное действующим Developer ID на имя Эмила Григорова. Apple оперативно отозвала сертификат после того, как Jamf сообщила о находке. Однако сам факт, что нотаризованное приложение доставляло стилер, говорит о новой тактике злоумышленников: они используют доверие пользователей к «официальным» программам.

Для запуска атаки жертве нужно было самостоятельно скачать Werkbit с werkbit.io, ввести PIN-код (который злоумышленники передавали избранным целям), запустить приложение и ввести пароль от учётной записи macOS. После этого Werkbit загружал скрытый скрипт с GitHub, а затем через подконтрольный сервер скачивал, переподписывал и запускал уже сам CrashStealer.
Вредоносная программа устанавливалась в папку /private/tmp/.CrashReporter/, а затем копировала себя в ~/Library/Caches/com.apple.crashreporter/ и создавала агент для автозапуска при каждом входе в систему.
CrashStealer выдаёт себя за инструмент сбора отчётов об ошибках – CrashReporter. Он использует иконку, похожую на системную, и bundle identifier com.apple.crashreporter. После запуска программа запрашивает доступ к полному диску, рабочим папкам и документам, а затем выводит фейковое окно авторизации macOS с просьбой ввести пароль. Введённый пароль проверяется легитимной командой dscl, и если он верен, зловред открывает связку ключей (login.keychain-db) и копирует её содержимое в скрытую папку. Помимо паролей из связки, CrashStealer собирает данные из браузеров (Chrome, Edge, Brave, Firefox, Opera, Vivaldi и др.), а также около 80 расширений для криптокошельков и 14 менеджеров паролей, включая 1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC и NordPass.
Собранные файлы шифруются алгоритмом AES-256-GCM и упаковываются в скрытые ZIP-архивы. Вредонос также проверяет наличие антивирусов и средств защиты, чтобы оценить, находится ли Mac под наблюдением. Для усложнения анализа используются обфускация, проверки на отладчик и шифрование строк. Несмотря на то что атака требует действий пользователя, она представляет серьёзную угрозу из-за продуманной маскировки и широкого набора целей.
Jamf также обнаружила несколько похожих доменов для фейковых приложений для встреч (Cohezo, Cordinex, Synerix, Collabox, Werknova), которые используют одну и ту же инфраструктуру, а также Windows-версию установщика.
Мнение редакции
История с CrashStealer — ещё одно напоминание, что даже заверенные приложения не гарантируют безопасность. Apple быстро реагирует на угрозы и отзывает сертификаты, но злоумышленники постоянно ищут новые способы обойти защиту. Пользователям стоит быть предельно внимательными: не открывать подозрительные файлы, не вводить пароль по первому требованию и проверять, откуда пришла ссылка на скачивание.