CrashStealer na macOS omija Gatekeeper dzięki podpisanym aplikacjom - Security Bez Tabu

CrashStealer na macOS omija Gatekeeper dzięki podpisanym aplikacjom

Cybersecurity news

Wprowadzenie do problemu / definicja

CrashStealer to nowa rodzina złośliwego oprogramowania dla macOS, zaliczana do kategorii infostealerów. Jej głównym zadaniem jest kradzież danych uwierzytelniających, sekretów zapisanych w pęku kluczy, plików użytkownika oraz informacji przechowywanych przez portfele kryptowalutowe i menedżery haseł. Zagrożenie wyróżnia się tym, że wykorzystuje podpisany i notaryzowany komponent startowy, co pozwala zmniejszyć czujność ofiary i skuteczniej obejść mechanizmy bezpieczeństwa systemu, w tym Gatekeeper.

W skrócie

CrashStealer został opisany jako aktywnie wykorzystywany malware atakujący użytkowników macOS. Kampania opiera się na fałszywym instalatorze dostarczanym w obrazie DMG, który uruchamia dalszy łańcuch infekcji i pobiera właściwy ładunek z zewnętrznej infrastruktury.

  • Podszywa się pod systemowy komponent raportowania awarii.
  • Wykorzystuje podpisany i notaryzowany element początkowy.
  • Kradnie dane z przeglądarek, pęku kluczy, portfeli kryptowalutowych i menedżerów haseł.
  • Szyfruje zebrane informacje lokalnie przed eksfiltracją.
  • Stosuje persistence, antydebugging i techniki utrudniające analizę.

Kontekst / historia

Pierwsze próbki CrashStealer pojawiły się w maju 2026 roku w publicznych systemach analizy malware i początkowo wyglądały na projekt rozwijany przez operatorów. Na początku lipca 2026 roku odnotowano już oznaki rzeczywistego wykorzystania tego narzędzia w aktywnych atakach.

Na tle wielu prostszych stealerów dla macOS CrashStealer prezentuje wyższy poziom dojrzałości technicznej. Zamiast lekkich skryptów lub prostych wrapperów wykorzystuje natywny kod C++, co może wskazywać na lepsze przygotowanie autorów kampanii. Istotnym elementem ataku jest także użycie obrazu dysku udającego legalny instalator z aplikacją podpisaną ważnym Apple Developer ID i opatrzoną notaryzacją.

Analiza techniczna

Infekcja rozpoczyna się od uruchomienia obrazu DMG, który sprawia wrażenie legalnego instalatora. Po starcie aplikacja kontaktuje się z infrastrukturą operatorów i pobiera dalsze instrukcje, w tym polecenie pobrania skryptu instalacyjnego. Skrypt jest zaciemniony, dynamicznie dekodowany i wykonywany w sposób utrudniający analizę.

W kolejnym etapie pobierany jest następny obraz dysku zawierający właściwy payload identyfikowany jako CrashReporter.app. Malware montuje obraz, kopiuje aplikację do ukrytej lokalizacji tymczasowej, usuwa wcześniejszy podpis kodu i podpisuje ją ad hoc, a następnie uruchamia w tle. Dzięki temu złośliwy komponent wygląda bardziej wiarygodnie i może przypominać legalny element systemu Apple.

Po uruchomieniu CrashStealer wyświetla natywne okno z prośbą o hasło użytkownika. Po podaniu poprawnych danych wykorzystuje je do odblokowania login keychain i uzyskania dostępu do przechowywanych tam sekretów. To znacząco zwiększa skalę możliwej kompromitacji, ponieważ malware nie ogranicza się wyłącznie do danych zapisanych przez przeglądarki.

Zakres kradzionych informacji jest szeroki i obejmuje dane z przeglądarek opartych na Chromium, magazyny Firefoxa, rozszerzenia portfeli kryptowalutowych, menedżery haseł oraz wybrane pliki użytkownika z katalogów takich jak Dokumenty i Pobrane. Zebrane dane są porządkowane, pakowane i przygotowywane do wysłania do operatorów.

Na uwagę zasługuje warstwa kryptograficzna. Przed eksfiltracją informacje są szyfrowane lokalnie przy użyciu AES-256-GCM, a klucz wyprowadzany jest z wykorzystaniem PBKDF2-HMAC-SHA256. Taki mechanizm utrudnia analizę przechwyconego ruchu i ogranicza skuteczność prostych metod wykrywania opartych na inspekcji treści.

CrashStealer wdraża również mechanizmy utrwalenia. Kopiuje siebie do katalogu w profilu użytkownika, a następnie tworzy wpis LaunchAgent, który umożliwia automatyczne uruchamianie po restarcie systemu. Dodatkowo stosuje zaciemnianie przepływu sterowania, szyfrowanie stringów oraz wielowarstwowe kontrole obecności debuggera, co wyraźnie utrudnia analizę laboratoryjną i działania zespołów reagowania.

Konsekwencje / ryzyko

Największe zagrożenie wynika z połączenia wiarygodnego łańcucha dostarczenia z szerokim zakresem wykradanych danych. Użytkownik może otrzymać aplikację, która wygląda legalnie, przechodzi podstawowe kontrole systemowe i nie wzbudza natychmiastowych podejrzeń.

Dla osób prywatnych oznacza to ryzyko przejęcia kont internetowych, poczty, zapisanych haseł, portfeli kryptowalutowych oraz poufnych dokumentów. W środowisku firmowym skutki mogą być poważniejsze i obejmować kompromitację poświadczeń korporacyjnych, przejęcie sesji, dostęp do usług chmurowych, kradzież danych biznesowych oraz dalszy ruch boczny w infrastrukturze.

Niepokojące jest również to, że malware działa w sposób uporządkowany, ogranicza liczbę śladów pośrednich i wykorzystuje techniki utrudniające zarówno detekcję, jak i analizę po incydencie. To wskazuje, że operatorzy dobrze rozumieją procesy bezpieczeństwa i projektują narzędzie z myślą o maksymalnym wydłużeniu czasu obecności w systemie.

Rekomendacje

Organizacje korzystające z macOS powinny przyjąć podejście wielowarstwowe, łączące ochronę endpointów, monitoring zachowania procesów i analizę artefaktów systemowych. Szczególną uwagę należy zwrócić na nietypowe lokalizacje uruchamiania aplikacji oraz próby podszywania się pod komponenty Apple.

  • Monitorować procesy uruchamiane z katalogów tymczasowych i ukrytych lokalizacji.
  • Analizować tworzenie i modyfikację wpisów LaunchAgent w profilach użytkowników.
  • Wykrywać przypadki usuwania podpisu kodu, ad hoc signing i ponownego podpisywania aplikacji.
  • Obserwować nietypowe użycie narzędzi systemowych takich jak codesign, security, dscl, hdiutil i lsregister.
  • Reagować na nietypowe żądania dostępu do login keychain i Full Disk Access.
  • Rozszerzyć threat hunting o artefakty związane z nazwą CrashReporter i uruchamianiem z ukrytych ścieżek.
  • Po wykryciu infekcji szybko resetować poświadczenia i unieważniać aktywne tokeny sesyjne.

Po stronie użytkowników końcowych kluczowe jest ograniczenie zaufania do instalatorów DMG pochodzących spoza oficjalnych kanałów dystrybucji. Należy również szkolić pracowników w zakresie fałszywych promptów haseł systemowych oraz aplikacji podszywających się pod legalne składniki macOS.

Podsumowanie

CrashStealer pokazuje, że zagrożenia dla macOS stają się coraz bardziej zaawansowane i profesjonalnie przygotowane. To nie jest prosty stealer oparty na skryptach, lecz natywne narzędzie wykorzystujące podpisany i notaryzowany dropper, techniki budowania zaufania, lokalne szyfrowanie danych i mechanizmy antyanalityczne.

Dla obrońców najważniejsza lekcja jest jasna: samo zaufanie do podpisu aplikacji nie wystarcza. Skuteczna ochrona wymaga telemetryki endpointów, analizy zachowań procesów, kontroli nietypowych ścieżek uruchomienia oraz szybkiego reagowania na oznaki kompromitacji poświadczeń.

Źródła

  1. https://securityaffairs.com/195278/malware/crashstealer-new-macos-infostealer-uses-signed-apps-to-evade-gatekeeper.html
  2. https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis/