安全专家最近发现了一种针对 Mac 电脑的新威胁。一种名叫“CrashStealer”的恶意程序正在网上流传,它故意伪装成正常的系统工具,诱骗用户输入密码。这个恶意软件主要瞄准浏览器数据、加密货币钱包凭证,以及电脑里直接保存的各种密码。
这次攻击特别棘手,因为最初的下载文件居然通过了苹果的安全检查,还拿到了官方公证。虽然苹果后来撤销了开发者的凭证,但这次行动也暴露了攻击者越来越擅长绕过常规安全防线。
攻击者用假冒会议应用投递恶意载荷
攻击通常从一个叫“Werkbit”的假冒协作或会议应用开始。骗子把下载链接藏在特定的会议 PIN 码后面,看起来是针对特定受害者下手,而不是在公开网络上大范围散播。
用户一旦下载并打开 Werkbit 应用,它就会悄悄连接远程服务器,在后台下载真正的 CrashStealer 恶意软件。然后这个恶意程序把自己伪装成“CrashReporter”,这个名字故意模仿 macOS 官方的崩溃报告工具,大多数用户看到都不会多想。
恶意软件用假密码提示解锁你的数据
安装到系统后,CrashStealer 会弹出一个和标准 Mac 授权窗口一模一样的提示框。它会要求你输入系统密码,声称是为了“系统管理”权限。
如果你真的输入了密码,恶意软件会立刻验证它,然后用这个确认过的密码解锁 Mac 的登录钥匙串。CrashStealer 迅速复制浏览器、密码管理器和加密扩展里保存的密码,把所有数据打包成加密的 ZIP 文件发回给攻击者。它还会把自己设置为每次登录都自动运行,即使重启电脑,威胁依然存在。
如果你怀疑自己下载了可疑的会议应用,或者在意外的提示框里输入了密码,安全专家建议立即断开网络,从安全设备上修改所有重要密码,然后彻底擦除 Mac 系统,重新干净安装。

已注销
全部评论0