Computer Software

CrashStealer, il malware macOS che si finge il crash reporter di Apple e ruba tutto

Mister gadget Apple Crashstealer

Un nuovo infostealer per macOS sta circolando camuffato da strumento di sistema Apple. Si chiama CrashStealer ed è stato individuato dai ricercatori di Jamf Threat Labs, che ne hanno pubblicato un’analisi tecnica dettagliata.

Il malware è scritto in C++ nativo, una scelta che lo distingue dalla maggior parte degli infostealer per Mac, di solito basati su script AppleScript o wrapper leggeri in Objective-C.

Jamf lo aveva già individuato a maggio come campione ancora in sviluppo, ma nelle prime settimane di luglio ha iniziato a rilevarlo in attacchi reali, segno che il progetto è passato dalla fase di test a quella operativa.

Come si maschera da CrashReporter

Il nome CrashStealer non è casuale. Il malware imita il vero strumento di crash reporting di Apple, riprendendone nome, icona e persino il bundle identifier com.apple.crashreporter. L’obiettivo è farsi notare il meno possibile da chi controlla i processi in esecuzione.

Il punto più insidioso riguarda però la distribuzione. Il payload arriva attraverso un dropper firmato e notarizzato da Apple, distribuito come immagine disco con il nome “Werkbit Setup”.

Werkbit si presenta come un’app di collaborazione o meeting, con un sito che rivendica clienti importanti registrato però soltanto a fine giugno.

Il download è protetto da un PIN, un dettaglio che restringe la diffusione ai soli utenti selezionati e rende più difficile l’analisi automatica da parte dei ricercatori di sicurezza.

Proprio perché il dropper porta una firma Developer ID valida e un ticket di notarizzazione regolare, riesce a superare Gatekeeper, il sistema di controllo di macOS, senza alcun avviso per l’utente.

Una volta avviato, scarica in modo silenzioso uno script da un repository GitHub, decodificato a runtime da più livelli di Base64, che a sua volta recupera il vero payload malevolo.

Il falso prompt della password e il Keychain svuotato

Una volta installato, CrashStealer mostra una finestra di autenticazione identica a quella reale di macOS, chiedendo la password dell’account. Il malware verifica la password inserita tramite il comando legittimo dscl, continuando a chiederla finché non riceve quella corretta.

A quel punto la usa per sbloccare il Keychain di accesso, dove macOS conserva password, certificati e chiavi private.

Da lì la raccolta dati si estende rapidamente: credenziali e cookie dai principali browser (Chrome, Firefox, Brave, Edge, Opera, Vivaldi), dati da circa 80 estensioni di wallet di criptovalute su ecosistemi come Ethereum, Solana e Cosmos, e informazioni da 14 gestori di password, tra cui 1Password, Bitwarden e LastPass.

Il malware raccoglie anche file da Documenti, Download e Scrivania, escludendo però cache, log e archivi troppo pesanti, probabilmente per restare più leggero e passare inosservato.

Prima di inviare tutto a un server di comando e controllo, CrashStealer cifra i dati con AES-256-GCM e li comprime in archivi ZIP nascosti. Per garantirsi la persistenza sul sistema, si copia in una cartella nascosta della libreria utente e installa un LaunchAgent che lo rilancia automaticamente a ogni accesso.

Un problema che riguarda sempre più i Mac

Jamf sottolinea che CrashStealer condivide alcuni obiettivi con famiglie di malware già note come Atomic (AMOS) e MacSync, ma se ne distingue per l’implementazione nativa in C++ e per le tecniche di cifratura lato client, pensate soprattutto per rendere più complessa l’analisi forense dei file rubati.

Su MisterGadget.tech avevamo già raccontato come gli infostealer per Mac stiano crescendo di numero e di sofisticazione, dalle campagne che sfruttano video sui social per installare varianti come Aura Stealer fino ai database pieni di credenziali sottratte proprio da questo tipo di software. CrashStealer si inserisce in questa tendenza, con l’aggravante di sfruttare una firma Apple valida per superare i controlli che dovrebbero proteggere gli utenti Mac.

Da parte sua, Apple ha già revocato le credenziali di firma legate all’app malevola dopo che Jamf ha condiviso i risultati della propria analisi con il team di sicurezza dell’azienda.


Cosa sappiamo e cosa non sappiamo

Cosa sappiamo:

  • CrashStealer è un infostealer per macOS scritto in C++ nativo, individuato da Jamf Threat Labs.
  • Si distribuisce tramite un dropper firmato e notarizzato Apple, camuffato da app di collaborazione chiamata Werkbit.
  • Ruba credenziali da browser, wallet crypto e password manager, oltre ai dati del Keychain.
  • Apple ha revocato le credenziali di firma usate per distribuire il malware.

Cosa non sappiamo:

  • Il metodo esatto con cui le vittime vengono indirizzate al primo stadio dell’attacco non è stato reso pubblico da Jamf.
  • Non è chiaro quante persone siano state effettivamente colpite finora.
  • Jamf ha individuato altri domini simili a Werkbit, ma non è ancora certo quale sia la reale portata dell’infrastruttura usata dagli attaccanti.

Domande frequenti su Crashstealer

CrashStealer può infettare il mio Mac senza che io faccia nulla?
No. Serve che l’utente scarichi e avvii manualmente l’app Werkbit, quindi non si tratta di un attacco automatico o “zero click”.

Come posso capire se ho scaricato l’app malevola?
Controlla la cartella Login Items nelle Preferenze di Sistema e verifica la presenza di un LaunchAgent chiamato com.apple.crashreporter.helper, che non fa parte del sistema operativo originale.

Cosa devo fare se penso di essere stato colpito?
Non riavviare l’app sospetta, esegui una scansione con un antivirus aggiornato, cambia le password principali da un altro dispositivo pulito e revoca le sessioni attive dei servizi più sensibili, in particolare wallet crypto e gestori di password.

Apple ha già risolto il problema?
Apple ha revocato le credenziali di firma usate per distribuire il dropper, ma questo non elimina automaticamente eventuali copie del malware già installate sui dispositivi colpiti.


Banner di Mistergadget con invito ad aggiungere il sito alle Fonti Preferite di Google

Change privacy settings
×