Um novo malware para macOS chamado CrashStealer está se passando pelo relatório de falhas da Apple para roubar credenciais, dados do chaveiro e mais de 80 extensões de carteiras de criptomoedas. O infostealer, que começou a ser rastreado por pesquisadores em maio e foi observado em ataques no início de julho, utiliza um instalador assinado e notarizado pela Apple para contornar o Gatekeeper sem alertas.
Segundo análise da Jamf, empresa de segurança para dispositivos Apple, o binário do CrashStealer se passa pelo componente legítimo “CrashReporter.app” e cria um agente de inicialização chamado “com.apple.crashreporter.helper”. O malware é entregue por um instalador chamado “Werkbit Setup”, hospedado em um site falso de software registrado no final de junho e protegido por um PIN de acesso, indicando uma campanha limitada a visitantes com o código correto.
Quando executado, o malware exibe uma tela falsa solicitando a senha do usuário, que é validada localmente usando o comando ‘dscl’. Se a senha estiver incorreta, retorna um erro de autenticação, forçando a vítima a digitá-la novamente. A senha permite desbloquear o chaveiro do macOS, que contém logins do Safari, senhas de Wi-Fi, chaves criptográficas e tokens.
Além dos dados do chaveiro, o CrashStealer tem como alvo: credenciais e cookies de navegadores Chromium e Firefox; mais de 80 extensões de carteiras de criptomoedas, incluindo MetaMask, Phantom e Coinbase Wallet; 14 gerenciadores de senhas como 1Password, Bitwarden e LastPass; e arquivos de diretórios do usuário, como Documentos e Downloads.
O malware utiliza criptografia AES-256-GCM para proteger os dados antes da exfiltração, empacota-os em arquivos ZIP ocultos e os envia ao servidor de comando e controle usando libcurl. A Jamf destaca que, embora compartilhe objetivos com outras famílias, o CrashStealer é distinto por sua implementação em C++ nativo e pelo mecanismo de criptografia no lado do cliente.






