Tarnung als Apple-Systemkomponente

Apple-Notarisierung missbraucht: Infostealer CrashStealer bedroht macOS-Clients

MacOS
Bildquelle: aileenchik/Shutterstock.com

Die neue macOS-Malware CrashStealer tarnt sich als legitimer Crash-Reporter und stiehlt Passwörter sowie Krypto-Wallets über einen notarisierten Dropper.

Sicherheitsforscher von Jamf Threat Labs haben eine neue Infostealer-Malware für macOS namens CrashStealer identifiziert. Die Schadsoftware wird über ein signiertes und von Apple notarisiertes Installationsprogramm namens Werkbit Setup verbreitet. Durch diese offizielle Beglaubigung hebelt die Schadsoftware den integrierten macOS-Schutzmechanismus Gatekeeper ohne Warnmeldung aus. Um einer Entdeckung zu entgehen, tarnt sich die ausführbare Datei als legitimes Systemprogramm unter dem Namen CrashReporter.app und legt einen LaunchAgent namens com.apple.crashreporter.helper an. Dabei werden die originalen Symbole und Metadaten von Apple repliziert. Die Verteilung der Schadsoftware erfolgt über gefälschte Software-Webseiten, wobei der Download zusätzlich durch die Abfrage einer Meeting-PIN geschützt ist. Dies deutet auf gezielte Angriffe hin.

Anzeige

Gezielter Diebstahl von Passwörtern und Krypto-Wallets

Nach dem Start zeigt die Malware eine gefälschte Passwortabfrage an, die einer legitimen macOS-Rechteerweiterung gleicht. Das eingegebene Administrator-Passwort wird lokal über ein Systemwerkzeug überprüft und dient anschließend dazu, den lokalen Schlüsselbund (Keychain) zu entsperren. Neben den im Schlüsselbund hinterlegten Zugangsdaten und Zertifikaten liest CrashStealer gezielt weitere sensible Daten aus:

  • Browserdaten und Cookies von Firefox und Chromium-basierten Browsern
  • Zugangsdaten aus 14 Passwortmanagern wie 1Password, Bitwarden und LastPass
  • Daten aus über 80 Krypto-Wallet-Erweiterungen wie MetaMask, Coinbase und Trust Wallet
  • Lokale Dateien aus den Benutzerordnern für Dokumente und Downloads

Verschlüsselung der Beute und Schutz vor Analyse

Vor der Übertragung an den Kontrollserver verschlüsselt die in C++ geschriebene Schadsoftware die gesammelten Daten mithilfe des AES-256-GCM-Algorithmus und verpackt sie in versteckte ZIP-Archive. Der Abfluss der Daten erfolgt anschließend über die Bibliothek libcurl. Um eine Erkennung und Analyse durch Sicherheitstools zu erschweren, nutzt CrashStealer hochentwickelte Verschleierungstechniken wie Control-Flow-Flattening und verschlüsselte Zeichenketten im Programmcode. Zudem bricht die Malware die Ausführung sofort ab, wenn sie eine active Debugger-Umgebung auf dem System registriert. Anzeichen in der Infrastruktur deuten darauf hin, dass es sich um eine plattformübergreifende Kampagne handelt, die künftig auch Varianten für Microsoft Windows umfassen könnte.

(red)

Anzeige
Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.