虽然 macOS 通常非常稳定,但有时应用程序会崩溃,你的 Mac 会提示发送诊断报告给 Apple。
一种新的 Mac 恶意软件已被发现,它会创建这种表单的假冒版本,在数据收集过程中要求输入你的 Mac 密码。如果你输入了,它将获得访问大量个人数据的权限,包括你的密码管理器和加密货币钱包……
Jamf 表示,他们从 5 月份开始追踪这种恶意软件,目前已在野外环境中发现其踪迹。
5 月初,我们的样本处理管道中出现了一个可疑的 macOS 样本,随后 Jamf Threat Labs 开始对其进行追踪。它伪装成 Apple 的崩溃报告框架,当时看起来像是一个仍在开发中的信息窃取器。到 7 月初,我们看到了与我们内部规则匹配的有效载荷的野外检测,表明该项目已从开发阶段成熟到实际使用。我们将这种恶意软件命名为 CrashStealer。
这家网络安全公司表示,用于分发恶意软件的磁盘映像最初具有有效的 Apple Developer ID 和公证,允许它通过 Gatekeeper 检查。
初始访问是通过名为“Werkbit Setup”的磁盘映像实现的,它会挂载在
/Volumes/Werkbit Setup
,并包含一个单独的应用程序包
Werkbit.app
。其可执行文件名为
veltod
,捆绑标识符为
dev.golove.velto
。与它最终安装的有效载荷不同,投放器经过了正确的代码签名和公证:它是一个通用(arm64 和 x86_64)二进制文件,使用 Developer ID
Emil Grigorov (WWB7JA7AQV)
签名,启用了硬化运行时,并带有钉合的公证票据。值得注意的是,磁盘映像本身也经过签名,而不仅仅是里面的应用程序,这在恶意 DMG 分发中并不常见,因为容器通常保持未签名状态。
Apple 已撤销相关凭证,因此现在应该会被 Gatekeeper 检测到。但仍需保持警惕。除了留意该磁盘映像外,你还应该仔细检查应用程序崩溃报告以及任何提示“系统偏好设置想要进行更改”的密码输入框。

















