CrashStealer macOS 恶意软件利用已公证投递器绕过 Gatekeeper 检查
导语:Jamf Threat Labs 披露了一款名为 CrashStealer 的新型 macOS 原生 C++ 信息窃取木马,它利用已签名并经过 Apple 公证的 "Werkbit.app" 投递器绕过 Gatekeeper 检查,可窃取浏览器、加密货币钱包、密码管理器及钥匙串中的敏感数据。
网络安全研究人员标记了一种名为 CrashStealer 的新型 macOS 信息窃取木马,能够从受感染系统中窃取敏感数据。据 Jamf Threat Labs 介绍,CrashStealer 与其他基于 AppleScript 投递器或 Objective-C 封装的信息窃取木马不同,它使用原生 C++ 实现,这使其在构建方式上更具独特性。
安全研究员 Thijs Xhaflaire 在一份分享给 The Hacker News 的报告中表示:"它会在收割数据之前在本地验证受害者的登录密码,广泛收集浏览器、加密货币钱包、密码管理器以及钥匙串中的信息,使用 AES-GCM 对收集到的数据进行加密后通过 libcurl 外传,并通过复制并重新签名自身的方式实现持久化。"
据称,CrashStealer 通过一个已签名并经过 Apple 公证的投递器进行分发,该投递器以名为 "Werkbit.app" 的磁盘镜像文件形式分发。由于磁盘镜像和二进制文件均经过公证,并附带有效的开发者 ID("Emil Grigorov (WWB7JA7AQV)"),因此它能够通过 Gatekeeper 检查。
磁盘镜像本身来自域名 "werkbit[.]io",该域名于 2026 年 6 月注册。值得注意的是,下载链接通过会议 PIN 进行门控,这意味着安装程序仅会提供给那些带有正确代码访问站点的访客,而非所有人。研究人员还发现了与该行动相关联的其他域名和共享后端基础设施,表明 CrashStealer 是一个更大规模跨平台攻击活动的一部分。

磁盘镜像挂载后,会向用户呈现一个安装设置界面,提示用户右键点击应用程序并选择"打开"以运行它。启动后,"veltod" 可执行文件会联系一个 GitHub 仓库("github.com/mgothiclove"),以检索名为 "sys.cache" 的文件。随后该文件被用于提取一条 curl 命令并拉取一个 shell 脚本,该脚本充当下载器,用于获取并暂存下一个有效载荷("CrashReporter.dmg"),并将其保存到 "/tmp" 目录中。
恶意软件在执行后会作为 LaunchAgent 建立持久化机制,抵抗分析,显示密码提示并在本地验证输入的凭证,使用验证后的密码解锁登录钥匙串,列出已安装的安全和分析工具,然后继续收集浏览器数据、加密货币钱包扩展、密码管理器数据以及钥匙串材料。收集到的数据随后被打包成 ZIP 压缩文件,并外传至攻击者控制的服务器("179.43.166[.]242")。
Jamf 表示:"CrashStealer 的投递链显示出真正的精心策划:操作者没有使用裸露的、未签名的诱饵,而是在攻击前端部署了一个已签名并经过公证的投递器,该投递器能在悄然获取、重新签名并启动有效载荷之前顺利通过 Gatekeeper。""它与普通商品化窃取木马的差异不在于收集了什么,而在于构建方式:对收集到的文件进行客户端 AES-GCM 加密,并通过控制流平坦化、加密字符串以及多层反调试手段强调抗分析能力。"
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/crashstealer-macos-malware-uses.html
作者:info@thehackernews.com (The Hacker News)

