今年5月初,Jamf威胁实验室的研究员像往常一样扫视VirusTotal上自动上传的可疑文件。一个不起眼的Mac样本引起了他们的警觉。随后的两个月里,他们发现自家客户设备里开始零星出现与这个样本一致的检测记录,到7月初,这些警报连成了一幅清晰的攻击图——一种此前未被公开记录的Mac信息窃取木马开始活跃,它有个直白的技术代号:CrashStealer。
真正让团队感到不对的是这条攻击链的第一环。一个名叫Werkbit的会议或协作应用,不但持有有效的苹果开发者ID,还通过了苹果的公证流程。这意味着它能在不弹出“未识别开发者”警告的情况下,直接运行在受害者的Mac上。签名的开发者栏里写着一个名字:Emil Grigorov。在Jamf将发现同步给苹果安全团队后,这套签名凭证已被撤销,但在那之前,它已经帮助攻击者绕过了Gatekeeper的第一道检查。
![]()
更罕见的是,连装载这个应用的磁盘映像文件都经过了签名。Jamf指出,整套分发包的系统签名和公证叠加在一起,让Werkbit看起来非常像正规企业发布的产品。攻击者显然是算准了这一点:他们不需要零点击漏洞,也不追求一击必杀,只要有人下载、启动Werkbit,然后顺着流程输入一次Mac登录密码,CrashStealer就能拿到它想要的全部目标——密码、浏览器数据、加密货币凭证。
研究人员顺藤摸瓜,发现Werkbit的下载页面藏在werkbit[.]io这个域名下,要拿到安装包必须先输入一个会议PIN码。这种做法直接过滤掉了偶遇的访客和自动化扫描器,整个域名注册于2026年6月下旬,时间紧挨着恶意软件的构建日期,说明这次行动从一开始就是定向投放,没有对公开网络敞开过口子。
Werkbit的可执行文件名叫veltod,启动后会从一个GitHub仓库mgothiclove/pkeys里拉取一份隐藏的指令文件。这批指令驱动着应用去向endpoint-api-v1[.]com下载一段混淆过的脚本,再由脚本拉取、重签名并最终启动CrashStealer。在同一个攻击者控制的域名下,Jamf还发现了一个标着“Command Panel”的实时登录页面,基础设施的复用直接把控制面板和CrashStealer的分发链条绑在了一起,但研究者还没有公开这个面板的完整能力。
即便整套机制高度依赖用户交互,它远非无害。CrashStealer把伪装可信的第一阶段应用、足以假乱真的苹果系统提示、大范围的数据采集、加密暂存区,以及用户登录后自动恢复运行的持久化手段,焊成了一条完整的偷渡链条。攻击者并没打算在公开互联网上大撒网,而是在少数选定的受害者和监测系统之间建了一道信息围墙。
Jamf还发现,这个行动的范围不止一个Mac应用。他们找到了一组长相极为相似的会议和协作类域名,拼写接近Cohezo、Cordinex、Synerix、Collabox和Werknova,全都通过同一个后端icky-lyrical[.]com串联起来。研究人员认为,这场借助苹果公证体系掩护的定向窃密行动,极可能还有更多伪装面孔,分批走向了不同的收件箱。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.