• 2 min de lectura
Apple retiró una app de Mac firmada vinculada a CrashStealer
Apple revocó la firma de Werkbit después de que investigadores lo vincularan con el malware CrashStealer para macOS, que robaba contraseñas, datos del navegador y monederos de criptomonedas.

Imagen: iphones
Apple ha revocado la firma de la aplicación Werkbit después de que investigadores la vincularan con el malware CrashStealer en macOS. El malware se hacía pasar por el servicio integrado de informes de fallos de Apple, solicitaba la contraseña del sistema y acceso total al disco, y luego extraía datos de navegadores, gestores de contraseñas y monederos de criptomonedas. Apple confirmó que el malware se usó en ataques reales.
Durante un ataque, CrashStealer recopiló información de navegadores, 14 gestores de contraseñas y más de 80 extensiones de monederos de criptomonedas. Entre los objetivos estaban 1Password, LastPass y Dashlane. También buscó en las carpetas Descargas y Documentos, donde los usuarios suelen guardar códigos de respaldo, frases semilla, documentos escaneados y bases de datos exportadas.
La cadena de infección fue sencilla. Werkbit pasó las comprobaciones de Apple y estaba firmado, por lo que parecía legítimo en el sistema. Tras ejecutarse, solicitó la contraseña de administrador y acceso total al disco. Después accedió al llavero de macOS, cifró los datos robados usando AES-256-GCM y los envió al servidor de los atacantes.
Esta no es la primera vez que un infostealer para macOS se oculta tras una apariencia “oficial”. En 2023 y 2024, los investigadores también rastrearon campañas que involucraban al Atomic macOS Stealer y a Poseidon, ambos dirigidos a contraseñas, cookies y carteras de criptomonedas. Lo que hace que el caso CrashStealer sea más inquietante es que la aplicación contaba con la aprobación de Apple, lo que refuerza una falsa sensación de confianza en torno a las firmas de desarrolladores.

Recomendado
In-toto asegura las cadenas de suministro de software de extremo a extremo
Apple ya ha revocado el certificado de Werkbit, y macOS debería ahora bloquear nuevas instalaciones de esa aplicación específica. Pero la táctica subyacente sigue intacta: los operadores de infostealers reconstruyen rutinariamente los droppers, cambian de nombre y vuelven a intentar pasar la notarización. Con el crecimiento del mercado cripto, el interés en estos ataques también aumenta. Citando a Chainalysis, la fuente señala que los activos cripto robados han ascendido a miles de millones de dólares en los últimos años, y el acceso al navegador y al monedero de un usuario sigue siendo una de las vías más rápidas para llegar a su dinero.
Para los usuarios de Mac, el consejo es conocido pero útil: tengan precaución con las aplicaciones fuera de la Mac App Store, especialmente si piden la contraseña de administrador y acceso total al disco sin una razón clara. Si la campaña CrashStealer regresa con un nombre nuevo, los primeros indicadores probablemente aparecerán en detecciones de antivirus y en actualizaciones de XProtect en las próximas semanas, no meses.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía ITzine


