Novo malware para macOS finge ser ferramenta da Apple para roubar dados
Um novo malware para macOS, chamado CrashStealer, tem se destacado por se disfarçar como a ferramenta de relatórios de falhas da Apple, visando roubar credenciais, dados do chaveiro e carteiras de criptomoedas. Pesquisadores começaram a monitorar essa ameaça em maio, quando ainda estava em desenvolvimento, mas notaram seu uso em ataques a partir de julho. O malware utiliza um binário que imita o componente do sistema da Apple, chamado ‘CrashReporter.app’, e cria um LaunchAgent com o nome ‘com.apple.crashreporter.helper’, além de usar o ícone e metadados da ferramenta legítima para evitar a detecção. O instalador, denominado ‘Werkbit Setup’, é assinado e notarizado pela Apple, permitindo que o malware contorne o Gatekeeper, a proteção anti-malware do macOS. Ao ser executado, o CrashStealer apresenta um falso prompt de senha do macOS, enganando o usuário para que forneça sua senha do chaveiro, que armazena dados sensíveis como senhas de aplicativos e chaves criptográficas. O malware também coleta credenciais de navegadores e gerenciadores de senhas, além de arquivos de diretórios do usuário. Os dados roubados são criptografados e enviados para um servidor de comando e controle. A operação é cuidadosamente planejada para ser discreta, utilizando um dropper assinado e notarizado, e um processo de re-assinatura para garantir persistência.
