Aktuell wird eine neuartige macOS-Malware verbreitet, die versucht, sich als Apples CrashReproter zu tarnen. Das berichtet das Sicherheitsteam des MDM-Spezialisten Jamf. Der „CrashStealer“ getaufte Datenschädling ist ein klassischer Infostealer, versucht unter anderem, Daten zahlreicher bekannter Passwortmanager, das Apple-Schlüsselbund sowie Passwörter und Infos von Krypto-Wallets auf dem Mac abzugreifen. Außerdem gibt es eine integrierte Suchroutine, so Jamf, die die Dokumente- und Download-Ordner nach „Interessantem“ durchsucht.
Wichtige Daten klauen und verschlüsseln
Die Entwickler gehen dabei recht geschickt vor: Sie verschlüsseln die geklauten Dateien mittels AES-GCM und exfiltrieren sie dann via libcurl zu einem Command-and-Control-Server. Das Vorgehen erinnert an andere bekannte macOS-Infostealer wie Atomic, die native C++-Implementierung der Malware samt der Client-seitigen Verschlüsselung machten CrashStealer aber zu einer eigenen Datenschädlingsfamilie, so Jamf. Entdeckt wurde CrashStealer in einer via Web vertriebenen App namens Werkbit, die sich Nutzern als Meeting-Werkzeug verkauft, aber nichts mit einer gleichnamigen deutschen Software für den Mittelstand zu tun hat.
Die Fake-Werkbit-App soll zunächst über ein Apple-Zertifikat verfügt haben, die entsprechende „Developer Team ID“ wurde von Apple mittlerweile jedoch deaktiviert, nachdem Jamf den Schädling gemeldet hatte. Dass Malware mit einer legitimen Developer-ID ausgestattet ist, passiert leider immer wieder. Damit gibt es dann beim Ausführen der Software keine Warnung. Allerdings versucht der Installer auch, um diese Gatekeeper-Verifizierung herumzukommen und nutzt Social Engineering, um Nutzer dazu zu bewegen, die App per Rechtsklick auszuführen – eine Methode, die Apple immer schwerer macht. Allerdings wäre die Maßnahme hier gar nicht notwendig gewesen, da das Zertifikat ja bestand.










