Jamf Threat Labs에 따르면 Mac 사용자는 CrashStealer라는 macOS 악성 코드를 주의해야 합니다. 이 악성 코드는 Apple의 충돌 보고 프레임워크를 가장하며 모든 종류의 민감한 정보를 훔치려는 의도를 가지고 있습니다.
CrashStealer는 브라우저 데이터, 비밀번호 관리자 데이터, 암호화폐 지갑 확장 프로그램 및 키체인 데이터를 수집하며 Jamf는 Werkbit이라는 가짜 Apple 공증 앱에서 이러한 데이터가 유포되는 것을 처음으로 발견했습니다. 공증을 통해 악성 코드는 macOS 보안 시스템의 일부인 Gatekeeper에 의해 차단되지 않습니다.
80개가 넘는 암호화폐 지갑 확장 프로그램과 1Password, LastPass, Dashlane과 같은 14개의 비밀번호 관리자를 대상으로 합니다. 수집할 가치가 있는 정보를 찾기 위해 문서 및 다운로드 폴더를 검색합니다.
이 앱은 합법적인 것으로 보이며 웹을 통해 다운로드한 소프트웨어에 대한 일반적인 macOS 설치 절차를 사용하며 자세한 프로세스는 Jamf 웹사이트에 나와 있습니다. 가짜 CrashReporter.app은 Werkbit을 통해 다운로드되며 Apple의 자체 충돌 보고자를 가장하기 위한 것입니다. 사용자가 앱을 클릭하면 해당 앱이 합법적인 Apple 유틸리티로 인식될 가능성이 높습니다.
"시스템 관리를 위해" 전체 디스크 액세스를 요청하고 실제 macOS 인증 요청처럼 보이는 기본 비밀번호 프롬프트를 사용합니다. 입력한 비밀번호는 로그인 키체인에 액세스하는 데 사용됩니다. 수집된 데이터는 Apple의 CommonCrypto를 통해 AES–256-GCM으로 암호화되어 공격자의 IP 주소로 전송됩니다.
Jamf는 CrashStealer가 구현된 방식이 표준 인포스틸러와 구별되는 은폐 단계를 통해 "진정한 주의를 보여줍니다"라고 말했습니다. 이 악성 코드는 5월에 처음 발견된 후 Apple에 보고되었으며, 7월에 활발하게 사용되는 것으로 나타났습니다.
Apple은 Werkbit 앱의 서명 자격 증명을 취소하여 Jamf가 설명하는 특정 공격 벡터가 비활성화되었지만 악성 코드가 다시 나타날 수 있습니다. 원본 버전은 설치에 필요한 PIN으로 보호되어 있어 특정 사용자를 대상으로 한 것으로 나타났습니다.
Apple의 공증 시스템은 Mac 사용자를 악성 코드로부터 보호하기 위한 것이며, Apple은 공증된 앱에 악성 구성 요소가 있는지 확인한다고 말합니다. CrashStealer는 Apple의 보안 프로세스에서 악성 코드를 숨기는 방법이 있음을 분명히 합니다.
소프트웨어를 다운로드할 때 사용자는 Apple의 충돌 보고 기능이 내장되어 있음을 인식하여 CrashStealer로부터 자신을 보호할 수 있습니다. CrashReporter를 사용하는 모든 다운로드는 위험 신호이며, 앱이 시작될 때 시스템 비밀번호를 묻는 경우도 마찬가지입니다.








