CrashStealer macOS Malware Uses Notarized Dropper to Pass Gatekeeper Checks
Eine neue macOS-Malware namens CrashStealer, implementiert in C++, umgeht Gatekeeper-Checks mittels eines notarierten Droppers. Sie stiehlt sensible Daten von infizierten Systemen. Nutzer sollten wachsam sein und ihre Systeme auf verdächtige Aktivitäten überprüfen.
Eine neue macOS-Malware namens CrashStealer, implementiert in C++, umgeht Gatekeeper-Checks mittels eines notarierten Droppers. Sie stiehlt sensible Daten von infizierten Systemen. Nutzer sollten wachsam sein und ihre Systeme auf verdächtige Aktivitäten überprüfen.
macOS-Nutzer sind betroffen.
Die Malware umgeht Gatekeeper-Checks durch einen notarierten Dropper, was die Erkennung erschwert und den Diebstahl sensibler Daten ermöglicht.
Sensible Daten von infizierten macOS-Systemen werden gestohlen.
Überprüfen Sie Systeme auf verdächtige Aktivitäten und stellen Sie sicher, dass die neuesten Sicherheitsupdates installiert sind.
- ▸Überprüfen Sie Systemprotokolle auf ungewöhnliche Prozessstarts oder Dateizugriffe, die auf CrashStealer hindeuten könnten.
- ▸Stellen Sie sicher, dass alle macOS-Systeme die neuesten Sicherheitsupdates und Patches installiert haben.
- ▸Überprüfen Sie die Integrität von notarierten Anwendungen, die auf Ihren Systemen ausgeführt werden, um potenzielle Kompromittierungen zu identifizieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1553.001 Gatekeeper Bypass | High | umgeht Gatekeeper-Checks mittels eines notarierten Droppers |
| Collection | T1005 Data from Local System | High | Sie stiehlt sensible Daten von infizierten Systemen. |
- Es wird nicht spezifiziert, welche spezifischen sensiblen Daten gestohlen werden.
- Es wird nicht spezifiziert, wie der notarierte Dropper verbreitet wird (z.B. Phishing, Drive-by-Download).
- Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Resource Development detektieren?
- Können wir Execution detektieren?