“CrashStealer” adlandırılan yeni məlumat oğurlayıcı zərərli proqramın “Apple” şirkətinin macOS əməliyyat sistemində istifadə olunan daxili xəta hesabatı xidmətini (Crash Report Framework) təqlid edərək istifadəçilərin məxfi məlumatlarını ələ keçirdiyi müəyyən edilib.
Tamamilə “C++” proqramlaşdırma dilində hazırlanmış zərərli proqram brauzerlərdə saxlanılan istifadəçi adı və şifrələri, kriptovalyuta cüzdanlarına aid məlumatları, şifrə menecerlərinin verilənlərini, “Keychain” xidmətində saxlanılan məlumatları və digər həssas faylları toplamaq üçün nəzərdə tutulub. Əldə edilən məlumatlar şifrələndikdən sonra uzaqdan idarəetmə serverinə ötürülür.
Hücum prosesi “Werkbit Setup” adlı disk təsviri faylının istifadəçiyə təqdim edilməsi ilə başlayır. Sözügedən faylın daxilində etibarlı “Developer ID” sertifikatı ilə imzalanmış və notarial təsdiq bileti əlavə edilmiş tətbiq paketi yerləşdirilir. Bu üsul tətbiqin ilk işə salınması zamanı macOS-un “Gatekeeper” təhlükəsizlik mexanizmini keçməsinə imkan verir.

Tətbiq işə salındıqdan sonra ilkin yükləyici “GitHub” platformasında yerləşdirilmiş “shell” skriptini əldə edir. Skript bir neçə səviyyəli “Base64” kodlaşdırmasından çıxarıldıqdan sonra əsas zərərli faylı sistemə yükləyir. Fayl “Apple” şirkətinin xəta hesabatı tətbiqini təqlid etmək məqsədilə “CrashReporter.app” adı, com.apple.crashreporter paket identifikatoru və uyğun tətbiq ikonası ilə təqdim olunur.
Zərərli proqramın hədəfə aldığı məlumatlara “Google Chrome”, “Brave”, “Microsoft Edge”, “Opera”, “Vivaldi” və “Mozilla Firefox” brauzerlərində saxlanılan məlumatlar daxildir. Bundan əlavə, proqram “Ethereum”, “Solana”, “Cosmos”, “TON” və digər ekosistemlərə aid təxminən 80 kriptovalyuta cüzdanı əlavəsini hədəfə alır. “1Password”, “Bitwarden” və “LastPass” daxil olmaqla 14 şifrə menecerinin məlumatları, istifadəçinin giriş “Keychain” faylı, həmçinin “Documents” və “Downloads” qovluqlarında saxlanılan sənədlər də proqramın topladığı məlumatlar sırasındadır.
“CrashStealer”i texniki baxımdan fərqləndirən əsas xüsusiyyətlərdən biri toplanmış məlumatların sistemdən çıxarılmazdan əvvəl şifrələnməsidir. Zərərli proqram bu məqsədlə “Apple” şirkətinin “CommonCrypto” çərçivəsi əsasında “AES-256-GCM” şifrələmə alqoritmindən istifadə edir. Məlumatlar şifrələndikdən sonra ZIP arxivlərinə yerləşdirilir və “libcurl” kitabxanası vasitəsilə uzaqdan idarəetmə serverinə göndərilir.
Zərərli proqram sistemdə davamlılığını təmin etmək məqsədilə öz surətini yaradır, onu “ad hoc” üsulu ilə yenidən imzalayır və com.apple.crashreporter.helper adı ilə “LaunchAgent” xidməti quraşdırır. Bu mexanizm “CrashStealer”in sistem yenidən başladıldıqdan sonra da avtomatik işə düşməsinə imkan verir.
Zərərli proqram, həmçinin kodun idarəetmə axınının mürəkkəbləşdirilməsi, analiz prosesinin çətinləşdirilməsi və sazlama vasitələrinin aşkarlanmasına yönəlmiş çoxsəviyyəli yoxlama mexanizmlərindən istifadə edir.
© 2011-2026 Bütün Hüquqlar Qorunur