CrashStealer na macOS omija Gatekeeper dzięki notaryzowanemu dropperowi - Security Bez Tabu

CrashStealer na macOS omija Gatekeeper dzięki notaryzowanemu dropperowi

Cybersecurity news

Wprowadzenie do problemu / definicja

CrashStealer to nowo zidentyfikowany infostealer dla systemu macOS, zaprojektowany do kradzieży poświadczeń, danych z przeglądarek, portfeli kryptowalutowych, menedżerów haseł oraz pęku kluczy użytkownika. Na tle wielu innych zagrożeń dla platformy Apple wyróżnia się nie tylko zakresem przejmowanych informacji, ale również sposobem dostarczenia, ponieważ wykorzystuje podpisany i notaryzowany komponent startowy, który przechodzi kontrolę Gatekeeper.

To istotna zmiana z perspektywy obrońców. W praktyce pokazuje bowiem, że zaufane mechanizmy ekosystemu macOS mogą zostać użyte jako element łańcucha infekcji, a sam podpis deweloperski i notaryzacja nie gwarantują, że uruchamiana aplikacja jest bezpieczna.

W skrócie

  • CrashStealer to natywny stealer dla macOS napisany w C++.
  • Kampania wykorzystuje aplikację podszywającą się pod legalny instalator dostarczany w obrazie DMG.
  • Pierwszy etap infekcji jest podpisany i notaryzowany, dzięki czemu omija początkowe kontrole Gatekeeper.
  • Malware pobiera kolejne elementy łańcucha infekcji, uruchamia payload podszywający się pod komponent raportowania awarii i utrwala się jako LaunchAgent.
  • Złośliwe oprogramowanie lokalnie weryfikuje hasło użytkownika, odblokowuje login keychain i kradnie dane z wielu aplikacji.
  • Zebrane informacje są szyfrowane przed eksfiltracją z użyciem AES-GCM.

Kontekst / historia

Z analiz badaczy wynika, że próbki CrashStealera były obserwowane już na etapie rozwoju, a następnie w lipcu 2026 roku zaczęły pojawiać się w realnych infekcjach. Malware podszywa się pod mechanizmy związane z raportowaniem awarii w macOS, co ma zwiększyć wiarygodność i utrudnić szybką identyfikację zagrożenia zarówno użytkownikowi, jak i analitykom bezpieczeństwa.

W opisywanej kampanii kluczową rolę odgrywa aplikacja „Werkbit”, osadzona w obrazie dysku DMG. Zarówno nośnik, jak i sam binarny dropper były podpisane ważnym identyfikatorem deweloperskim oraz posiadały notaryzację Apple. Taki model dystrybucji obniża czujność ofiary i zwiększa szanse skutecznego uruchomienia pierwszego etapu ataku.

Badacze wskazują również, że powiązana infrastruktura nie ogranicza się do pojedynczego artefaktu, co może sugerować szerszą kampanię lub rozwój dodatkowych wariantów malware. To ważny sygnał, że mamy do czynienia nie z jednorazowym incydentem, lecz z bardziej dojrzałą operacją.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od obrazu DMG zawierającego aplikację „Werkbit.app”. Po uruchomieniu wykonywalny dropper kontaktuje się z zewnętrznym repozytorium, z którego pobiera plik konfiguracyjny wykorzystywany do budowy komendy pobierającej dalsze elementy ataku. Następnie ściągany jest skrypt powłoki pełniący rolę downloadera dla właściwego payloadu.

Skrypt zapisuje kolejny obraz dysku, montuje go w katalogu tymczasowym, kopiuje zawartą w nim aplikację do ukrytej ścieżki w katalogu tymczasowym, usuwa atrybuty rozszerzone, nadaje prawa wykonywania, usuwa pierwotny podpis i podpisuje aplikację ad hoc przed uruchomieniem jej w tle. Oznacza to, że notaryzowany pierwszy etap służy przede wszystkim do bezpiecznego dostarczenia i uruchomienia właściwego malware.

Sam CrashStealer działa jako natywna aplikacja C++ i stosuje zestaw technik zwiększających skuteczność operacji. Obejmuje to usuwanie atrybutów kwarantanny, wyświetlanie fałszywego monitu o hasło, lokalną weryfikację wprowadzonego hasła przy użyciu legalnych narzędzi systemowych, odblokowanie login.keychain-db, wykrywanie narzędzi bezpieczeństwa i analizy oraz ustanawianie trwałości jako LaunchAgent.

Zakres kradzionych danych jest szeroki. Malware przejmuje informacje z przeglądarek opartych na Chromium, danych z około 80 rozszerzeń portfeli kryptowalutowych, 14 menedżerów haseł, a także interesuje się plikami użytkownika z katalogów dokumentów i pobrań. Zebrane dane są gromadzone w ukrytych katalogach roboczych, szyfrowane lokalnie, pakowane do archiwów i dopiero później wysyłane do infrastruktury operatora.

Warte podkreślenia są także mechanizmy utrudniające analizę. CrashStealer wykorzystuje warstwowe techniki anti-debugging, sprawdzanie obecności debuggera, szyfrowanie ciągów znaków oraz elementy zaciemniania przepływu sterowania. To wskazuje, że autorzy zbudowali narzędzie bardziej dopracowane niż typowy stealer typu commodity.

Konsekwencje / ryzyko

Największe ryzyko wynika z połączenia wiarygodnego wektora dostarczenia i szerokiego zakresu kradzieży danych. Użytkownik może błędnie uznać aplikację za bezpieczną, ponieważ pierwszy etap przechodzi kontrole Gatekeeper. W praktyce znacząco zwiększa to prawdopodobieństwo skutecznej infekcji.

Dla organizacji skutki mogą być poważne i obejmować przejęcie kont użytkowników, kompromitację sekretów przechowywanych w pęku kluczy macOS, kradzież zasobów kryptowalutowych, ujawnienie danych z przeglądarek i menedżerów haseł oraz wyciek lokalnych plików o charakterze poufnym. Przejęte poświadczenia mogą zostać następnie wykorzystane do dalszej eskalacji dostępu w środowisku firmowym.

Szczególnie narażone są organizacje, które polegają głównie na zaufaniu do podpisu aplikacji i notaryzacji, bez dodatkowej analizy zachowania procesów po uruchomieniu. Kampania pokazuje, że tradycyjne założenia o bezpieczeństwie na macOS wymagają korekty.

Rekomendacje

Przypadek CrashStealera jasno pokazuje, że sam podpis deweloperski i notaryzacja nie powinny być traktowane jako wystarczający wskaźnik zaufania. W środowiskach macOS potrzebne jest podejście oparte na telemetrii, analizie zachowania oraz korelacji artefaktów systemowych.

  • wdrożenie EDR lub XDR z widocznością procesów, zmian w LaunchAgents, operacji na keychain i aktywności w katalogach tymczasowych,
  • monitorowanie uruchomień aplikacji z nietypowych ścieżek, zwłaszcza z ukrytych lokalizacji i katalogów tymczasowych,
  • wykrywanie nietypowych sekwencji użycia narzędzi systemowych odpowiedzialnych za modyfikację atrybutów, podpisywanie, odblokowanie keychain i utrwalanie startu aplikacji,
  • dodatkową inspekcję aplikacji uruchamianych z obrazów DMG, szczególnie jeśli wymagają ręcznego obejścia ostrzeżeń lub nietypowych działań po starcie,
  • hunting artefaktów związanych z fałszywym komponentem crash reportera oraz podejrzanych wpisów LaunchAgent,
  • ograniczenie przechowywania wrażliwych sekretów lokalnie wszędzie tam, gdzie jest to możliwe,
  • szkolenie użytkowników, że legalnie wyglądające okna logowania i podpisane aplikacje również mogą być elementem kampanii malware,
  • szybkie resetowanie haseł, tokenów i sesji po wykryciu podejrzanej aktywności na stacji macOS.

W działaniach incident response warto dodatkowo sprawdzić obecność ukrytych katalogów w profilach użytkowników, kopii login.keychain-db, lokalnych cache z przechwyconym hasłem oraz nietypowych wpisów LaunchAgent podszywających się pod komponenty Apple.

Podsumowanie

CrashStealer pokazuje ewolucję zagrożeń dla macOS w kierunku bardziej zaawansowanych kampanii, które łączą socjotechnikę, nadużycie zaufanych mechanizmów platformy i rozbudowaną logikę kradzieży danych. Najważniejszym elementem tej operacji jest notaryzowany dropper, który pomaga ominąć początkowe kontrole bezpieczeństwa i uruchomić payload zdolny do odblokowania keychain, zbierania poświadczeń oraz trwałej obecności w systemie.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona urządzeń Apple musi wykraczać poza prostą ocenę podpisu aplikacji. Kluczowe stają się monitorowanie zachowania procesów, analiza działań po uruchomieniu oraz szybka identyfikacja anomalii wskazujących na kradzież danych i utrwalanie malware.

Źródła

  1. CrashStealer macOS Malware Uses Notarized Dropper to Pass Gatekeeper Checks
  2. CrashStealer: C++ macOS infostealer posing as crash reporter