文章总结: 新型macOS信息窃取恶意软件CrashStealer采用原生C++编写,通过经过苹果公证的加载程序绕过Gatekeeper安全校验,窃取浏览器凭证、约80款加密货币钱包插件、14款密码管理器数据及用户文件,使用AES-GCM加密外传,并具备持久驻留和反逆向分析能力。攻击者利用域名werkbit.io分发,需输入会议PIN码验证才能下载,属于跨平台攻击行动的一部分。 综合评分: 85 文章分类: 恶意软件,威胁情报,逆向分析,漏洞分析
CrashStealer macOS 恶意软件:利用经过公证的加载器绕过 macOS 网关验证(Gatekeeper)
鹏鹏同学 鹏鹏同学
黑猫安全
2026年7月14日 08:57 湖北
在小说阅读器读本章
去阅读
网络安全研究人员发现了一款名为 CrashStealer 的新型 macOS 信息窃取恶意软件,该软件能够从受入侵设备中窃取敏感数据。
杰姆夫威胁实验室(Jamf Threat Labs)表示,不同于基于 AppleScript 投放程序或 Objective-C 封装程序开发的其他信息窃取木马,CrashStealer 采用原生 C++ 语言编写。
安全研究员泰伊斯・沙夫莱尔(Thijs Xhaflaire)在发给《黑客新闻》(The Hacker News)的一份报告中称:“该恶意软件会先在本地验证受害者的登录密码,随后广泛窃取浏览器数据、加密货币钱包信息、密码管理器数据以及钥匙串信息;窃取的数据会通过 AES-GCM 算法加密,再经由 libcurl 工具向外传出,并通过自我复制、重新签名实现持久驻留。”
CrashStealer 通过一款经过签名与苹果官方公证的恶意加载程序进行传播,载体为名为 Werkbit.app 的磁盘镜像文件。由于该磁盘镜像及程序二进制文件均完成苹果公证,并附带有效开发者 ID(Emil Grigorov (WWB7JA7AQV)),因此可以顺利通过 macOS 网关(Gatekeeper)安全校验。
该磁盘镜像文件源自域名 werkbit.io,该域名注册于 2026 年 6 月。值得留意的是,文件下载需要输入会议 PIN 码验证,也就是说只有输入正确验证码的访问者,才能获取安装程序,并非所有人均可直接下载。
研究人员还发现了与该攻击团伙相关的其他域名及共用后台服务器基础设施,表明 CrashStealer 属于一场规模更大、跨多平台的攻击行动。
挂载磁盘镜像后,系统会弹出安装界面,诱导用户右键点击应用并选择 “打开” 以运行程序。程序启动后,名为 veltod 的可执行文件会访问 GitHub 代码仓库(github.com/mgothiclove),下载名为 sys.cache 的文件。
通过该文件可解析出 curl 指令并拉取 Shell 脚本;该脚本充当下载器,获取后续核心恶意载荷(CrashReporter.dmg)并保存至 /tmp 临时目录。
恶意软件运行后,会通过 LaunchAgent 机制实现长期驻留,同时具备防逆向分析能力;随后弹出系统密码输入框,在本地验证用户密码,并用验证通过的密码解锁登录钥匙串、扫描本机安装的安全软件和调试分析工具,之后开始窃取浏览器数据、加密货币钱包插件信息、密码管理器数据以及钥匙串存储信息。
恶意软件窃取的数据类型完整清单如下:
- 基于 Chromium 内核浏览器的账号凭证,包括谷歌浏览器(Google Chrome)、Brave、微软 Edge、Opera、Opera GX、Vivaldi、Chromium、Naver Whale
- 约 80 款加密货币钱包插件,包括 MetaMask、Phantom、Coinbase、Trust Wallet、Rabby、OKX Wallet、Exodus、Keplr、Solflare、Backpack
- 14 款密码管理器数据,包括 1Password、Bitwarden、LastPass、Dashlane、Keeper、KeePassXC、NordPass、Enpass、RoboForm
- 用户文稿(~/Documents)和下载(~/Downloads)文件夹内的文件
窃取完毕后,所有数据会被打包为 ZIP 压缩包,外传至攻击者控制的服务器(179.43.166.242)。
杰姆夫(Jamf)表示:“CrashStealer 的攻击投递链路经过精心设计:攻击者不再使用无签名的简陋诱饵程序,而是先用经过签名和苹果公证的加载程序绕过网关校验,再静默下载、重新签名并运行核心恶意载荷。
它和普通批量信息窃取木马的核心区别,不在于窃取的数据种类,而在于底层实现:对窃取文件采用客户端 AES-GCM 加密,并通过控制流扁平化、字符串加密、多层反调试技术,大幅提升逆向分析难度。”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《CrashStealer macOS 恶意软件:利用经过公证的加载器绕过 macOS 网关验证(Gatekeeper)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论