Ta fałszywa aplikacja firmy Apple może odblokować sejf haseł MacTwoim Mac

| 15 lipca 2026 r.
Apple MacBook

CrashStealer to nowe oprogramowanie wykradające dane w systemie macOS, które podszywa się pod komponent CrashReporter firmy Apple, wykorzystuje instalator poświadczony przez Apple, by ominąć zabezpieczenia Gatekeepera, nakłania użytkowników do podania hasła, a następnie systematycznie plądruje przeglądarki, menedżery haseł, portfele kryptowalutowe i dane z pęku kluczy, po czym wycieka je w postaci pakietów zaszyfrowanych algorytmem AES.

Badacze śledzą rozwój programu CrashStealer od maja 2026 roku. Program ten podszywa się pod komponent CrashReporter firmy Apple, przyjmując nazwę CrashReporter.app. Tworzy również LaunchAgent o nazwie com.apple.crashreporter.helper i wykorzystuje ikonę oraz metadane oryginalnego narzędzia, aby wyglądać na jak najbardziej wiarygodny.

Gatekeeper, czyli w zasadzie „ochroniarz” systemu macOS, sprawdza, czy aplikacja wygląda na bezpieczną, zanim zezwoli na jej uruchomienie. Korzystając z poświadczonego instalatora — czyli takiego, który firma Apple przeskanowała i zatwierdziła jako dopuszczalny — zwiększa się prawdopodobieństwo, że Gatekeeper przepuści go bez wywoływania alarmu. Poświadczenie nie oznacza, że firma Apple celowo zatwierdziła złośliwe oprogramowanie. Oznacza to jedynie, że instalator przeszedł automatyczne kontrole firmy Apple, a cyberprzestępcy nadużyli tego zaufania.

Poświadczony notarialnie instalator o nazwie „Werkbit Setup” jest rozpowszechniany za pośrednictwem fałszywej strony internetowej poświęconej oprogramowaniu, zarejestrowanej pod koniec czerwca, a dostęp do niego jest ograniczony kodem PIN (osobisty numer identyfikacyjny), co sugeruje, że jest to ukierunkowana kampania dostępna wyłącznie na zaproszenie.

Po uruchomieniu złośliwe oprogramowanie wyświetla fałszywe okno z prośbą o podanie hasła w systemie macOS, które użytkownicy zwykle widzą podczas wykonywania legalnych operacji systemowych wymagających uprawnień administratora. W rzeczywistości złośliwe oprogramowanie wykorzystuje to hasło do odblokowania pęku kluczy użytkownika, w którym przechowywane są hasła i inne poufne dane w zaszyfrowanym sejfie haseł systemu macOS.

Fałszywy monit o podanie hasła, zdjęcie udostępnione przez Jamf Labs
Zdjęcie udostępnione dzięki uprzejmości Jamf Labs

Następnie złośliwe oprogramowanie wykradło dane logowania i pliki cookie z przeglądarki, rozszerzenia portfeli kryptowalutowych, dane menedżera haseł oraz niewielkie pliki z typowych katalogów użytkownika. Skradzione dane zostały zaszyfrowane i przesłane na serwer dowodzenia i kontroli (C2).

CrashStealer przypomina, że system macOS znajduje się na celowniku grup zajmujących się kradzieżą danych uwierzytelniających. Funkcje Notarization i Gatekeeper ograniczają wiele rodzajów zagrożeń, ale nie eliminują konieczności stosowania wielopoziomowych zabezpieczeń, ostrożnego zachowania użytkowników oraz ciągłego monitorowania zagrożeń.

Jak zachować bezpieczeństwo

Jest kilka rzeczy, które możesz zrobić, aby zabezpieczyć się przed programem CrashStealer i innymi programami wykradającymi dane.

  • Podchodź sceptycznie do pobierania aplikacji „CrashReporter”. Narzędzia firmy Apple do zgłaszania awarii są dostarczane wraz z systemem macOS, więc nigdy nie powinno być konieczne pobieranie osobnej aplikacji CrashReporter ze stron zewnętrznych.
  • Należy zachować ostrożność w przypadku instalatorów wymagających podania kodu PIN. Jeśli zaproszenie na spotkanie lub narzędzie do współpracy wymaga pobrania oprogramowania z nieznanej domeny oraz wprowadzenia prywatnego kodu PIN w celu odblokowania instalatora, należy zweryfikować tę prośbę u organizatora za pośrednictwem oddzielnego, zaufanego kanału.
  • Prośbę o podanie hasła, która pojawia się zaraz po uruchomieniu nowej lub nieznanej aplikacji — zwłaszcza takiej, która podaje się za element systemu — należy traktować jako sygnał ostrzegawczy.
  • Korzystaj z renomowanego oprogramowania zabezpieczającego, które obsługuje system macOS. Dbaj o to, by zarówno ono, jak i sam system macOS były zawsze aktualne.
  • Rozdzielaj źródła ryzyka. W miarę możliwości unikaj przechowywania portfeli kryptowalutowych o dużej wartości, sejfów na hasła oraz danych logowania używanych na co dzień do przeglądania stron internetowych na tym samym komputerze i w tym samym profilu użytkownika.

Malwarebytes CrashStealer jako MacOS.Stealer.Crash.


Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.