<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	xmlns:media="http://search.yahoo.com/mrss/"
>

<channel>
	<title>CrashStealer &#8211; CyberCalm</title>
	<atom:link href="https://cybercalm.org/topic/crashstealer/feed/" rel="self" type="application/rss+xml" />
	<link>https://cybercalm.org</link>
	<description>Кіберзахист та технології простою мовою</description>
	<lastBuildDate>Thu, 16 Jul 2026 08:23:43 +0000</lastBuildDate>
	<language>uk</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://cybercalm.org/wp-content/uploads/2025/10/favicon-1.svg</url>
	<title>CrashStealer &#8211; CyberCalm</title>
	<link>https://cybercalm.org</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple</title>
		<link>https://cybercalm.org/crashstealer-macos-infostiler/</link>
		
		<dc:creator><![CDATA[Наталя Зарудня]]></dc:creator>
		<pubDate>Thu, 16 Jul 2026 08:23:43 +0000</pubDate>
				<category><![CDATA[Кібербезпека]]></category>
		<category><![CDATA[Apple]]></category>
		<category><![CDATA[CrashStealer]]></category>
		<category><![CDATA[macOS]]></category>
		<category><![CDATA[інфостілер]]></category>
		<category><![CDATA[Комп'ютери]]></category>
		<category><![CDATA[шкідливе ПЗ]]></category>
		<guid isPermaLink="false">https://cybercalm.org/?p=168000</guid>

					<description><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2019/03/21163752/macOS-macbook.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/crashstealer-macos-infostiler/">CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple</a></p>
<p>Дослідники виявили новий інфостілер (викрадач даних) CrashStealer, який атакує користувачів macOS, видаючи себе за штатний засіб Apple для звітування про збої. Мета шкідника — зібрати паролі, записи звʼязки ключів (Keychain), облікові дані браузерів і гаманці криптовалют та переправити їх на підконтрольний зловмисникам сервер. Про загрозу повідомили в компанії Jamf — фахівці її підрозділу Threat Labs описали [&#8230;]</p>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/crashstealer-macos-infostiler/">CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></description>
										<content:encoded><![CDATA[<p><a rel="nofollow" href="https://cybercalm.org">CyberCalm</a><br />
<img src="https://cdn.cybercalm.org/wp-content/uploads/2019/03/21163752/macOS-macbook.jpg" style="display: block; margin: 1em auto"><br />
<a rel="nofollow" href="https://cybercalm.org/crashstealer-macos-infostiler/">CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple</a></p>
<p>Дослідники виявили новий інфостілер (викрадач даних) CrashStealer, який атакує користувачів macOS, видаючи себе за штатний засіб Apple для звітування про збої. Мета шкідника — зібрати паролі, записи звʼязки ключів (Keychain), облікові дані браузерів і гаманці криптовалют та переправити їх на підконтрольний зловмисникам сервер.<span id="more-168000"></span></p>
<p>Про загрозу <a href="https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis/" target="_blank" rel="noopener"><u>повідомили в компанії Jamf</u></a> — фахівці її підрозділу Threat Labs описали CrashStealer як інфостілер, написаний мовою C++. Уперше зразок потрапив у поле зору дослідників після підозрілого завантаження на сервіс VirusTotal ще в травні, коли шкідник, імовірно, перебував на стадії розробки. На початку липня почали фіксувати активні зараження — це означає, що проєкт перейшов від розробки до реального застосування.</p>
<h2>Як діє CrashStealer і на що звертати увагу</h2>
<p>Штатний засіб звітування Apple зʼявляється, коли програма несподівано завершує роботу або аварійно закривається: у спливному вікні система пропонує надіслати звіт про помилку. Саме цей знайомий сценарій й імітує шкідник.</p>
<p>Потрапивши на macOS, CrashStealer видає себе за системний застосунок Apple: він використовує назви CrashReporter.dmg (для встановлення) та CrashReporter.app (для пакета застосунку), ідентифікатор com.apple.crashreporter і копіює оригінальну іконку.</p>
<p>Далі шкідник намагається розблокувати звʼязку ключів (Keychain), показуючи підроблений запит пароля, який імітує справжній запит автентифікації macOS. Введені дані програма спершу перевіряє локально, а вже потім переходить до головної мети — краде облікові записи з браузерів, встановлених <a href="https://cybercalm.org/krashhi-menedzhery-paroliv-yak-nymy-korystuvatysya/">менеджерів паролів</a> (серед цілей — 1Password, Bitwarden і LastPass) та понад 80 розширень для криптогаманців. Зібрані дані шифруються за алгоритмом AES-256-GCM і переправляються на сервер зловмисників.</p>
<h2>Чому підроблений застосунок обходить захист Apple</h2>
<p>Деякі інфостілери, зокрема CrashStealer, потрапляють на Mac у вигляді образів дисків. Файли з розширенням .dmg — стандартний спосіб встановлення програм у macOS: користувач відкриває образ, перетягує програму до теки «Програми» й запускає встановлення.</p>
<p>Особливість цього випадку в тому, що головний .dmg-файл, який поширювався під назвою «Werkbit Setup» і містив у собі CrashReporter.dmg, — це підписаний і нотаризований Apple дропер, замаскований під образ диска. Оскільки дропер має дійсний ідентифікатор розробника (Developer ID) і прикріплений квиток нотаризації, він безперешкодно проходить перевірку Gatekeeper під час першого запуску — на відміну від корисного навантаження, яке він встановлює.</p>
<p>Інакше кажучи, .dmg-файл має вигляд легітимної надійної утиліти, і жодних явних тривожних ознак немає. За даними дослідників, дропер поширювався під виглядом платформи для відеоконференцій: у соцмережах користувачі раніше повідомляли, що їх просили встановити Werkbit нібито для співбесід на сумнівні вакансії.</p>
<p><strong><b>Оновлення. </b></strong>Apple вже <a href="https://www.macrumors.com/2026/07/15/crashstealer-mac-malware/" target="_blank" rel="noopener"><u>відкликала сертифікат розробника</u></a>, яким був підписаний Werkbit, тож конкретний вектор атаки, описаний Jamf, наразі знешкоджено. Утім, дослідники не виключають, що шкідник може зʼявитися знову в іншому вигляді.</p>
<h2>Інші способи, якими інфостілери потрапляють на Mac</h2>
<p>Ще один поширений вектор атак на macOS — ClickFix. Ця техніка спирається на соціальну інженерію: користувача підштовхують самостійно ввести й виконати команду в терміналі, зазвичай через інструкції на кшталт «скопіювати та вставити», щоб нібито «виправити» проблему на компʼютері або пройти CAPTCHA.</p>
<p>Окремий тривожний напрям — використання ШІ. <a href="https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust" target="_blank" rel="noopener"><u>Як описали дослідники Huntress</u></a>, інфостілер Atomic macOS Stealer (AMOS) поширювали через отруєні розмови з ШІ-чатботами: за допомогою SEO-маніпуляцій підроблені діалоги ChatGPT і Grok виводили в топ пошукової видачі, і вони підводили жертв до виконання шкідливих команд у терміналі. Небезпека в тому, що така атака не потребує ані підозрілих завантажень, ані попереджень системи безпеки — достатньо пошукового запиту, кліку й копіювання команди.</p>
<h2>Штучний інтелект змінює ландшафт загроз</h2>
<p>Колись macOS та компʼютери Apple загалом вважали майже невразливими до більшості видів шкідливого ПЗ — це твердження свого часу навіть було частиною маркетингу Apple. <a href="https://cybercalm.org/antyvirus-dlya-macos/"><u>Сьогодні це далеко від правди</u></a>.</p>
<p>Дедалі більшу роль відіграє ШІ. Його зловживають, щоб писати шкідливий код, удосконалювати фішингові листи й кампанії, а нещодавно ШІ став основою <a href="https://cybercalm.org/kiberataka-vymagach-pid-keruvannyam-shi/"><u>першої повністю агентної атаки програми-вимагача</u></a>. Компанія Sysdig зафіксувала операцію, яку назвала JADEPUFFER: увесь ланцюг атаки — від початкового доступу до шифрування даних — виконала велика мовна модель без постійного втручання людини. Не виключено, що вже за кілька місяців або років традиційні вектори атак на macOS поступляться місцем загрозам, повʼязаним зі ШІ.</p>
<h2>Три звички, що блокують більшість загроз</h2>
<p>Наразі є три звички, які допоможуть уникнути таких загроз, як CrashStealer:</p>
<ol>
<li><b></b><strong><b>Завжди перевіряйте джерело .dmg. </b></strong>Ззовні неможливо достеменно знати, що міститься в .dmg-пакеті. Якщо ви завантажуєте зламане чи піратське ПЗ, ризик запустити шкідник на власному компʼютері дуже високий.</li>
<li><b></b><strong><b>Перевіряйте запити пароля. </b></strong>Попередження та запити Gatekeeper існують не просто так, тож ігнорувати їх не варто. Якщо на Mac зʼявляється несподіване спливне вікно чи сповіщення, варто бути обережним, перш ніж вводити пароль. Наприклад, застосунку VPN пароль може знадобитися для оновлення — але якщо його раптово запитує невідомий системний процес під час звичайного перегляду сайтів, це може бути ознакою зараження.</li>
<li><b></b><strong><b>Оновлюйте macOS. </b></strong>Багато хто відкладає оновлення, щоб воно не переривало роботу чи відпочинок, й ігнорує підказки системи та сповіщення App Store. Проте такі оновлення часто містять виправлення помилок, які посилюють захист — не лише самого пристрою, а й даних на ньому.</li>
</ol>
<p>Ця стаття <a rel="nofollow" href="https://cybercalm.org/crashstealer-macos-infostiler/">CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple</a> раніше була опублікована на сайті <a rel="nofollow" href="https://cybercalm.org">CyberCalm</a>, її автор — <a rel="nofollow" href="https://cybercalm.org/author/nataliazarudnya/">Наталя Зарудня</a></p>
]]></content:encoded>
					
		
		
		<media:thumbnail url="https://cdn.cybercalm.org/wp-content/uploads/2019/03/21163752/macOS-macbook.jpg" />	</item>
	</channel>
</rss>
