Novo Malware CrashStealer Mascarado de Ferramenta da Apple Ameaça Usuários de macOS
Aprofundamento CEVIU
Aprofundamento
O CrashStealer, o novo infostealer para macOS, opera disfarçado da ferramenta nativa CrashReporter.app da Apple. Ele chega ao sistema via um dropper assinado e notarizado, o "Werkbit Setup", o que permite contornar o Gatekeeper, sistema anti-malware do macOS, sem emitir avisos. Seu objetivo principal é roubar dados sensíveis, utilizando um falso prompt de senha para acessar o Keychain do usuário, onde guarda senhas de apps, Wi-Fi e certificados.
Além do Keychain, o malware foca em credenciais de navegadores baseados em Chromium e Firefox, mais de 80 extensões de carteiras de criptomoedas como MetaMask e Coinbase Wallet, e 14 gerenciadores de senhas como 1Password e LastPass. Antes da exfiltração, os dados são criptografados com AES-256-GCM, empacotados em arquivos ZIP ocultos e enviados para o servidor de comando e controle. Essa robustez na criptografia e sua implementação em C++ nativo o diferenciam de outros infostealers como Atomic, MacSync e Phexia, como apontado pela Jamf.
Por que isso importa
O CrashStealer representa uma ameaça significativa para usuários de macOS, especialmente aqueles que lidam com dados financeiros ou informações sensíveis. Sua capacidade de se passar por uma ferramenta legítima da Apple, aliada à engenharia social do falso prompt de senha, torna-o perigoso até para usuários mais experientes. A sofisticação da criptografia de dados roubados indica um esforço coordenado para evadir detecção e extrair o máximo de valor das vítimas.
Empresas e indivíduos no ecossistema Apple precisam estar mais vigilantes do que nunca. A crescente complexidade de malwares como o CrashStealer e outros recentes para macOS, como o PamStealer e o GasLight, exige a adoção de práticas de segurança rigorosas, incluindo verificação de downloads, atualizações constantes e o uso de soluções de segurança multicamadas para proteger contra ataques cada vez mais furtivos.
Linha do tempo
Site Falso do CleanMyMac Espalha SHub Stealer com Truque ClickFix no Terminal.
Campanha Phexia visa macOS: Novo ataque de quatro estágios com roubo de credenciais.
CrashStealer em desenvolvimento, sendo rastreado por pesquisadores.
Novo malware GasLight para macOS incorpora erros falsos para confundir ferramentas de análise de IA.
CrashStealer observado em ataques.
Novo Malware PamStealer para macOS ignora quarentena e mira credenciais.
Novo Malware CrashStealer Mascarado de Ferramenta da Apple Ameaça Usuários de macOS.
Perguntas frequentes
O que é o CrashStealer e como ele se disfarça?
O CrashStealer é um malware tipo infostealer desenvolvido para macOS. Ele se disfarça como a ferramenta legítima CrashReporter.app da Apple, utilizando o nome, ícone e metadados para enganar os usuários e ferramentas de segurança.
Quais dados o CrashStealer tenta roubar?
O malware visa credenciais do Keychain do macOS, dados de navegadores Chromium e Firefox, mais de 80 extensões de carteiras de criptomoedas (incluindo MetaMask e Coinbase Wallet) e 14 gerenciadores de senhas (como 1Password e LastPass). Ele também pode coletar arquivos de diretórios do usuário, como Documentos e Downloads.
Como o CrashStealer consegue contornar as defesas do macOS?
Ele é entregue através de um instalador assinado e notarizado, o "Werkbit Setup". Essa notarização da Apple permite que o dropper ("Werkbit Setup") ignore o Gatekeeper, o sistema anti-malware integrado do macOS, sem levantar avisos de segurança para o usuário.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 14 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

