• 2 min de lectura
CrashStealer eludió las defensas de macOS para robar contraseñas
Jamf afirma que CrashStealer se hizo pasar por una herramienta de crash de Apple, eludió Gatekeeper mediante una app notariada y tuvo como objetivo llaveros, navegadores y monederos de criptomonedas.

Imagen: MacRumors
Se advierte a los usuarios de Mac sobre un malware para macOS llamado CrashStealer que se hizo pasar por una utilidad del sistema de Apple para robar datos sensibles, según Jamf Threat Labs.
Jamf dijo que el malware se hace pasar por el marco de informes de fallos de Apple y se detectó por primera vez dentro de una aplicación falsa notariada por Apple llamada Werkbit. Al estar notariada, la app pudo pasar Gatekeeper, la función de seguridad de macOS de Apple.
CrashStealer está diseñado para extraer una amplia variedad de información, que incluye:
- datos del navegador
- datos del gestor de contraseñas
- datos del llavero
- extensiones de monederos de criptomonedas
Jamf dijo que apunta específicamente a más de 80 extensiones de monederos de criptomonedas y a 14 gestores de contraseñas, incluidos 1Password, LastPass y Dashlane. También busca en las carpetas Documentos y Descargas archivos que valga la pena robar.
El malware utiliza un flujo de instalación familiar en macOS para parecer legítimo. A través de Werkbit descarga una CrashReporter.app falsa diseñada para parecerse a la propia herramienta de informes de fallos de Apple. Al iniciarse, pide acceso completo al disco "para la administración del sistema" y muestra un aviso de contraseña con apariencia nativa de macOS. Esa contraseña se utiliza luego para acceder al llavero de inicio de sesión.

Recomendado
1Password permite que Claude inicie sesión por ti sin ver las contraseñas
Jamf dijo que los datos robados se cifran con AES–256-GCM usando el framework CommonCrypto de Apple antes de enviarse a la dirección IP del atacante.
muestra un cuidado real
Jamf detectó el malware por primera vez en mayo y lo encontró en uso activo en julio. Tras la notificación, Apple revocó las credenciales de firma de la app Werkbit, deshabilitando el método de entrega específico que describió Jamf. Pero los investigadores advirtieron que el malware podría volver en otra forma. La versión original estaba protegida por un PIN requerido para la instalación, una señal de que podría haber estado dirigida a objetivos específicos.
El consejo de Jamf es sencillo: CrashReporter de Apple está integrado en macOS, por lo que cualquier app descargada que afirme ser CrashReporter es una señal de alarma. Una app que solicita la contraseña del sistema inmediatamente después de iniciarse también debe ser tratada con sospecha.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía MacRumors


