文章总结: 新型macOS窃密软件CrashStealer伪装成苹果崩溃报告框架,用原生C++开发,通过合法签名绕过Gatekeeper,窃取浏览器凭据、加密货币钱包和钥匙串数据,使用AES-256-GCM加密外泄,并设置持久化LaunchAgent。该恶意软件技术复杂度高,反映macOS威胁向专业化演进趋势。 综合评分: 83 文章分类: 恶意软件,威胁情报,逆向分析,终端安全,数据泄露
新型macOS窃密软件伪装苹果崩溃报告框架,窃取浏览器凭据
FreeBuf
2026年7月14日 18:00 上海
在小说阅读器读本章
去阅读
CrashStealer是一款原生C++开发的macOS信息窃取器,它伪装成苹果内置的崩溃报告工具,用于窃取浏览器凭据、加密货币钱包、密码管理器数据和钥匙串内容,然后将所有数据加密并外泄至远程命令与控制服务器。
Part01
发现与技术概览
2026年5月初,Jamf在VirusTotal上首次发现了一个可疑样本,它看起来像是一款尚在开发中的信息窃取器。到7月初,野外检测证实该恶意软件已成熟并开始活跃部署,研究人员遂将其正式命名为CrashStealer进行追踪。
与通常基于AppleScript释放器或轻量级Objective-C封装构建的常见macOS窃密软件不同,CrashStealer完全用原生C++编写,核心围绕一个名为MacOSData的内部类,这使其与Atomic(AMOS)、MacSync和Phexia等家族区别开来,尽管目标相似。
Part02
初始访问与伪装机制
初始访问始于一个名为“Werkbit Setup”的磁盘映像,其中包含一个应用程序包,该包使用合法的开发者ID签名并附有经过公证的票据,使其能够在首次启动时绕过Gatekeeper。
这很不寻常:连磁盘映像容器本身也经过了签名,这在恶意DMG活动中十分罕见。一旦打开,释放器会悄悄从GitHub托管的服务器中获取一个混淆的shell脚本,解码多层Base64编码的命令,并下载实际负载,该负载伪装成“CrashReporter.app”,带有苹果的包标识符com.apple.crashreporter和对应的图标。
Part03
攻击能力与持久化分析
一旦运行,CrashStealer会通过dscl在本地验证受害者的登录密码,解锁钥匙串,并分析已安装的安全工具,然后开始收集数据。其收集范围十分广泛:
- Chromium系列浏览器(Chrome、Brave、Edge、Opera、Vivaldi)和Firefox的凭据存储
- 约80个加密货币钱包扩展,涵盖Ethereum、Solana、Cosmos、TON及其他生态系统
- 14个密码管理器,包括1Password、Bitwarden和LastPass
- 用户的登录钥匙串以及对Documents和Downloads目录的广泛文件系统侦察
这种广度反映了现代macOS窃密软件领域的常见模式,即针对加密货币的凭据窃取已成为主要目标。
CrashStealer在技术上的独特之处在于,它通过苹果的CommonCrypto框架使用客户端AES-256-GCM加密来加密暂存的数据,然后将其打包成ZIP归档,并通过libcurl外泄。这种操作安全级别在常见的基于AppleScript的窃密软件中并不常见。
这种加密优先的方法,加上控制流平坦化、分层反调试检查等反分析措施,反映了macOS恶意软件家族在技术手段上专业化的大趋势。整个行业的研究人员都指出,随着macOS威胁从机会主义脚本演变为结构化、业务化运作,这种转变已愈发明显。
为了实现持久化,CrashStealer会复制自身并进行临时重签名,然后安装一个名为com.apple.crashreporter.helper的LaunchAgent,以便在重启后继续运行,将苹果模仿主题延续到持久化层。
Jamf还将该活动关联到一个实时操作面板和多个基础设施域名,表明CrashStealer是一个更大规模、多平台行动的一部分,而非孤立的工具。
这一发现进一步证明了macOS信息窃取器正在迅速缩小与Windows同类产品在复杂度上的差距,2025年至2026年间,检测数量和技术复杂度均大幅攀升。
参考来源:
New macOS Stealer Mimics Apple’s Crash Report Framework to Steal Browser Credentials
New macOS Stealer Mimics Apple’s Crash Report Framework to Steal Browser Credentials
推荐阅读
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《新型macOS窃密软件伪装苹果崩溃报告框架,窃取浏览器凭据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论