Indtast ikke din Mac-adgangskode i en uventet dialog, selv om en app passerer Gatekeeper. CrashStealer brugte en Apple-notariseret mødeapp til at nå frem til brugere. Angrebet krævede dog flere aktive handlinger fra offeret.

Den skadelige app hed Werkbit og fremstod som en møde- og samarbejdsapp. Den var signeret med et gyldigt Developer ID og notariseret af Apple, så den kunne passere Gatekeeper uden advarslen om en uidentificeret udvikler. I dette konkrete tilfælde stoppede kontrollen altså ikke appens første trin.

Jamf Threat Labs opdagede en mistænkelig prøve på VirusTotal i begyndelsen af maj og registrerede fra begyndelsen af juli tilsvarende fund på kunders Mac-computere. Analysen kædede Werkbit sammen med CrashStealer, der er udviklet til at indsamle følsomme oplysninger.

CrashStealer gik efter adgangskoder, browserdata og loginoplysninger til kryptovaluta. En falsk systemdialog skulle lokke brugeren til at indtaste en gyldig Mac-adgangskode, som gav malwaren adgang til de mest værdifulde mål. Det gør den uventede adgangskodedialog til angrebets afgørende øjeblik.

Der blev ikke fundet et nulklik-trin i de undersøgte eksempler. Brugeren skulle selv hente og åbne Werkbit, lade leveringskæden fortsætte og derefter skrive sin adgangskode. Det begrænser angrebets rækkevidde, men gør det ikke harmløst, fordi appen så troværdig ud og passerede Apples normale Gatekeeper-kontrol.

Som Mac-nyhed er sagen især relevant, fordi den viser, hvor vigtig brugerens egen vurdering fortsat er. En adgangskodeanmodning bør afvises, hvis den kommer uventet eller ikke tydeligt hænger sammen med en handling, du netop har valgt. Det gælder også for apps, der åbner uden den sædvanlige udvikleradvarsel.

Hvad ved vi nu?

Apple har tilbagekaldt signeringsoplysningerne knyttet til den skadelige app, efter Jamf delte sine fund med Apples sikkerhedsteam. De analyserede angreb krævede både download, åbning og indtastning af en gyldig Mac-adgangskode, så det vigtigste forsvar er fortsat at stoppe ved uventede adgangskodedialoger.