发布时间:2026-07-17 05:12:06 来源:安智兰德资讯网 作者:娱乐
IT之家 7 月 14 日讯—— 网络安全巨头 Jamf Threat Labs 发布最新威胁情报,攻击揭露了名为 CrashStealer的披露苹果高级恶意软件攻击。该攻击精准针对 macOS 用户,针对导致约 80 个加密货币钱包扩展及 14 款主流密码管理器遭窃。攻击在 Jamf 通报后,披露苹果苹果公司已紧急撤销了相关恶意应用的针对签名凭证。

Jamf 研究团队于 2026 年 5 月初在 VirusTotal 平台上捕获到可疑样本,攻击并在 2026 年 7 月初确认其已在客户 Mac 设备上大规模活跃。披露苹果
专家深入分析揭示了该攻击链的针对复杂运作机制:

Werkbit 启动后,攻击者通过以下路径部署核心恶意软件:
* 从 GitHub 仓库 mgothiclove/pkeys获取隐藏指令文件。
* 根据指令从域名 endpoint-api-v1[.]com下载混淆后的脚本。
* 最终获取、重新签名并启动 CrashStealer。

此外,Jamf 发现攻击者控制着一个名为 “Command Panel”的在线登录页面,并注册了多个仿冒会议或协作工具域名,包括 Cohezo、Cordinex、Synerix、Collabox和 Werknova,以增强欺骗性。

CrashStealer 恶意载荷封装在 CrashReporter.dmg文件中。安全专家解析发现其具有极强的隐蔽性和持久化能力:
/private/tmp/.CrashReporter/下运行。~/Library/Caches/com.apple.crashreporter/下安装持久化副本。该木马通过弹出仿 macOS 授权窗口,进一步诱导用户输入账户密码。Jamf 指出,CrashStealer 利用苹果合法的 dscl命令在本地校验密码,随后执行以下高危操作:
login.keychain-db复制到隐藏暂存目录。IT之家援引博文分析,代码还广泛扫描并窃取以下浏览器数据:
* 目标浏览器:Chrome、Edge、Brave、Firefox、Opera、Vivaldi。
* 窃取内容:配置文件、Cookie、已保存的登录信息以及扩展数据。
此次攻击对以下 14 款密码管理器造成了严重影响:
安全建议:Mac 用户应定期检查系统权限设置,警惕任何要求输入密码的弹窗,并及时更新 macOS 系统及浏览器插件。
相关文章