CrashStealer:新的 macOS Infostealer 使用签名应用程序来逃避 Gatekeeper

新的 macOS 信息窃取程序 CrashStealer 使用签名的应用程序绕过 Gatekeeper,窃取凭据和钱包,然后对窃取的数据进行 AES 加密。 Jamf 威胁实验室于 2026 年 5 月上旬首次发现 CrashStealer,它是上传到 VirusTotal 的可疑 macOS 样本。到 7 月初,野外检测证实该恶意软件已从开发阶段转向主动部署阶段。该恶意软件是 [...]

来源:Security Affairs _恶意软件

CrashStealer:新的 macOS Infostealer 使用签名应用程序来逃避 Gatekeeper

新的 macOS 信息窃取程序 CrashStealer 使用签名的应用程序绕过 Gatekeeper,窃取凭据和钱包,然后对窃取的数据进行 AES 加密。

Jamf 威胁实验室于 2026 年 5 月上旬首次发现 CrashStealer,它是一个上传到 VirusTotal 的可疑 macOS 样本。到 7 月初,野外检测证实该恶意软件已从开发阶段转向主动部署阶段。该恶意软件是用原生 C++ 编写的,模仿 Apple 的内置崩溃报告框架,并在发送之前对其收集的所有内容进行加密。大多数 macOS 窃取工具都是瘦 AppleScript 包装器或轻量级 Objective-C 工具。这个不是。

初始访问通过名为“Werkbit Setup”的磁盘映像进行,其中包含一个名为 Werkbit.app 的应用程序。该应用程序使用有效的 Apple 开发者 ID Emil Grigorov (WWB7JA7AQV) 进行签名,并带有公证票,这意味着它在首次启动时会在没有任何警告的情况下清除 Gatekeeper。

为安装程序提供服务的域名 werkbit[.]io 于 2026 年 6 月下旬注册,下载的访问权限通过会议 PIN 码进行控制,因此恶意安装程序对于临时访问者来说是不可见的。

“我们已经确定了有效负载之前的阶段:一个经过签名和 Apple 公证的植入程序,作为名为“Werkbit Setup”的磁盘映像进行分发,它从攻击者基础设施中检索 CrashStealer 有效负载并启动它。”阅读 Jamf 发布的报告。 “由于植入程序带有有效的开发者 ID 和装订好的公证票,因此它会在首次启动时清除 Gatekeeper,这与它安装的临时签名有效负载形成鲜明对比。”

然后,释放器会剥离有效负载的现有签名,并在从隐藏的 /tmp 路径启动它之前对其进行临时重新签名。从 /private/tmp 下的隐藏目录启动的应用程序包本身就是一个不寻常且高可信度的指标。

在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon

皮尔路易吉·帕格尼尼