Новый вирус для macOS крадет все ваши пароли. Как защитить свой Mac
На Mac нашли новую вредоносную программу, которая притворяется встроенным инструментом Apple и выманивает у пользователя системный пароль. Вирус CrashStealer маскируется под утилиту отчетов о сбоях и охотится за паролями, доступом к криптокошелькам и содержимым связки ключей. В этом году хакеры заметно активизировались: недавно мы разбирали, как новый вирус обходит защиту macOS, и вот очередная напасть. Рассказываем, кому стоит насторожиться и по каким признакам вычислить подделку.

Новый вирус нацелен на то, чтобы выкачать все ваши пароли из компьютера
ПОДПИШИСЬ НА КАНАЛ "СУНДУК АЛИ-БАБЫ" В МАКС, ЧТОБЫ НЕ ПРОПУСКАТЬ САМЫЕ ТОПОВЫЕ ТОВАРЫ С ALIEXPRESS ПО ЛУЧШИМ ЦЕНАМ
Как вирусы на Mac крадут пароли и данные
О новой угрозе для macOS сообщила исследовательская команда Jamf Threat Labs. Специалисты выяснили, что программа притворяется системой отчетов о сбоях и заточена под кражу самых разных чувствительных данных.
Список того, что собирает CrashStealer, получился внушительным. Вирус охотится за данными браузеров и менеджеров паролей, расширениями криптокошельков и связкой ключей, то есть встроенным хранилищем паролей в macOS. Заодно программа прочесывает папки «Документы» и «Загрузки» в поисках всего, что можно унести.
Масштаб охвата тоже впечатляет. Под прицелом более 80 расширений криптокошельков и 14 менеджеров паролей, включая 1Password, LastPass и Dashlane. Так что в зоне риска в первую очередь те, кто держит на Mac доступ к криптовалюте и логины от важных сервисов. Причем один удачный запуск такой программы разом обнуляет всю цепочку защиты: пароль от менеджера открывает доступ ко всем остальным аккаунтам сразу.
Хотите первыми узнавать о таких находках? Подписывайтесь на наши каналы в Telegram и МАКС, мы пишем о них сразу.
Почему защита macOS пропускает опасные приложения

Последние вирусы маскируются под штатные средства Apple и поэтому не вызывают подозрений
Неприятнее всего то, как аккуратно сделана подделка. Впервые CrashStealer заметили в фальшивом приложении Werkbit, которое прошло нотаризацию Apple, то есть проверку, после которой система считает программу безопасной. Из-за этого Gatekeeper, встроенный «привратник» macOS, спокойно пропускал заразу.
Дальше все выглядит буднично. Через Werkbit на компьютер загружается фальшивый CrashReporter.app, копирующий инструмент Apple для отчетов о сбоях. Пользователь принимает подделку за легитимную утилиту и не видит подвоха. Работает обратная логика: если macOS блокирует установку приложения, стоит лишний раз перепроверить, откуда вы его вообще скачали, а не искать способ обойти запрет.
Ключевой момент — запрос пароля. Программа просит полный доступ к диску якобы для системного администрирования и показывает окно ввода пароля, неотличимое от настоящего запроса авторизации macOS. Введенный пароль тут же уходит в дело: с ним вирус добирается до связки ключей. Собранные данные шифруются и отправляются на сервер злоумышленника.
По оценке Jamf, реализация CrashStealer сделана с настоящей тщательностью, и именно шаги по маскировке отличают его от рядовых программ-воришек. Это не топорная поделка на коленке, а продуманный инструмент.
Почему CrashStealer может снова появиться на Mac

Фальшивое приложение уже один раз прошло проверку Apple и обошло Gatekeeper, а значит история может повториться
Есть и хорошая новость. Apple отозвала подписи приложения Werkbit, поэтому конкретный путь заражения, описанный Jamf, больше не работает. Первые следы вируса нашли еще в мае, в июле его засекли в активном использовании и сообщили о находке Apple.
Расслабляться, впрочем, рано. Исследователи предупреждают, что вирус может всплыть снова уже в другом обличье. Любопытная деталь: исходная версия требовала для установки PIN-код. Это намекает, что атаку готовили под конкретных людей, а не под массовую рассылку.
История заодно подсветила уязвимое место в защите Apple. Нотаризация должна отсеивать опасные приложения, и компания уверяет, что проверяет их на вредоносные компоненты. Но способы спрятать вирус от проверки существуют, и это далеко не первый случай, когда Apple сама пропускает опасные приложения на компьютеры пользователей.
Признаки опасного приложения на Mac
Главная защита здесь — не технологии, а внимательность. Достаточно двух простых правил, чтобы не попасться на подобную уловку.
- Настоящий инструмент отчетов о сбоях не требует ввода пароля администратора для отправки отчета. К тому же его не нужно скачивать. Если загрузка из интернета тянет за собой CrashReporter, это тревожный сигнал.
- Насторожитесь, если приложение просит пароль сразу при первом запуске. Особенно когда вы только что взяли его со стороннего сайта.
Логика простая: почти любая зараза для Mac рано или поздно упирается в необходимость получить ваш пароль, потому что защита macOS выстроена в несколько слоев. Не вводите системный пароль по первому требованию непонятной программы, и половина проблем отпадет сама. Сомневаетесь в источнике загрузки — просто не запускайте приложение.
Не уверены, что за утилита просит у вас доступ? Спросите в нашем чате в Telegram или чате в МАКС, там подскажут по любому вопросу.
Насколько опасны вирусы для обычных владельцев Mac

Регулярно обновляйте macOS и смотрите внимательно на то, откуда и какие приложения вы качаете
Паниковать точно не нужно. Конкретный путь заражения Apple уже перекрыла, а сама атака, судя по PIN-коду при установке, была точечной и вряд ли задела массового пользователя. Но выводы из нее пригодятся всем. Особенно внимательными стоит быть тем, кто хранит на Mac доступ к криптокошелькам или пароли в менеджерах вроде 1Password, LastPass и Dashlane. Именно за этими данными вирус и охотился. Если вы качаете софт только из App Store и с сайтов проверенных разработчиков, риск для вас минимален.
Не забывайте и про обновления. Заплатки закрывают дыры быстрее любых советов: например, Apple срочно выпускала обновление безопасности iOS 18, когда всплыла похожая угроза. С macOS работает то же правило — ставьте свежие версии, как только они выходят. А сама история — неплохое напоминание, что неуязвимость Mac давно стала мифом. Базовая осторожность здесь уместна ровно так же, как на любом другом компьютере, и стоит она всего пары секунд раздумий перед вводом пароля.



