SecBoard
Zurück zur Übersicht

CrashStealer macOS Malware Uses Notarized Dropper to Pass Gatekeeper Checks

The Hacker News·
Originalartikel lesen bei The Hacker News

Eine neue macOS-Malware namens CrashStealer, implementiert in C++, umgeht Gatekeeper-Checks mittels eines notarierten Droppers. Sie stiehlt sensible Daten von infizierten Systemen. Nutzer sollten wachsam sein und ihre Systeme auf verdächtige Aktivitäten überprüfen.

Kurzfassung

Eine neue macOS-Malware namens CrashStealer, implementiert in C++, umgeht Gatekeeper-Checks mittels eines notarierten Droppers. Sie stiehlt sensible Daten von infizierten Systemen. Nutzer sollten wachsam sein und ihre Systeme auf verdächtige Aktivitäten überprüfen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

macOS-Nutzer sind betroffen.

Warum relevant

Die Malware umgeht Gatekeeper-Checks durch einen notarierten Dropper, was die Erkennung erschwert und den Diebstahl sensibler Daten ermöglicht.

Realistisches Worst Case

Sensible Daten von infizierten macOS-Systemen werden gestohlen.

Handlungsempfehlung

Überprüfen Sie Systeme auf verdächtige Aktivitäten und stellen Sie sicher, dass die neuesten Sicherheitsupdates installiert sind.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Systemprotokolle auf ungewöhnliche Prozessstarts oder Dateizugriffe, die auf CrashStealer hindeuten könnten.
  • Stellen Sie sicher, dass alle macOS-Systeme die neuesten Sicherheitsupdates und Patches installiert haben.
  • Überprüfen Sie die Integrität von notarierten Anwendungen, die auf Ihren Systemen ausgeführt werden, um potenzielle Kompromittierungen zu identifizieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Defense EvasionT1553.001 Gatekeeper BypassHighumgeht Gatekeeper-Checks mittels eines notarierten Droppers
CollectionT1005 Data from Local SystemHighSie stiehlt sensible Daten von infizierten Systemen.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen sensiblen Daten gestohlen werden.
  • Es wird nicht spezifiziert, wie der notarierte Dropper verbreitet wird (z.B. Phishing, Drive-by-Download).
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)