CrashStealer, il malware per macOS che si finge il sistema di Apple

15 Luglio 2026

La notizia in sintesi

  • CrashStealer colpisce macOS fingendosi il crash reporter di Apple.
  • Il malware è stato rilevato in attacchi reali da Jamf Threat Labs.
  • Un falso prompt acquisisce password e dati conservati nel Keychain.
  • Apple ha revocato le credenziali usate per firmare il dropper.

(Riassunto generato con AI)

CrashStealer prende di mira gli utenti Mac

CrashStealer è un nuovo infostealer per macOS individuato dai ricercatori di Jamf Threat Labs, che nelle prime settimane di luglio lo hanno rilevato in attacchi reali. Il malware si presenta come lo strumento di segnalazione crash di Apple, imitandone nome, icona e bundle identifier com.apple.crashreporter, con l’obiettivo di non destare sospetti tra i processi in esecuzione.

La minaccia punta a sottrarre password, certificati, chiavi private e file personali, sfruttando la fiducia degli utenti nei componenti di sistema macOS. Jamf aveva già osservato il campione a maggio, quando risultava ancora in sviluppo, ma il passaggio a campagne attive indica che il progetto è diventato operativo.

Il caso è rilevante perché la distribuzione ha inizialmente sfruttato un dropper firmato e notarizzato da Apple, quindi capace di superare Gatekeeper senza avvisi. Non si tratta però di un attacco automatico: per l’infezione è necessario che l’utente scarichi e avvii manualmente l’app malevola.

Il falso CrashReporter e il furto delle credenziali

Il payload viene distribuito in un’immagine disco chiamata Werkbit Setup. Werkbit si presenta come un’app per collaborazione o meeting e il suo sito, che dichiara clienti importanti, risulta registrato soltanto a fine giugno. Il download è protetto da PIN, una misura che limita l’accesso agli utenti selezionati e rende più difficile l’analisi automatizzata da parte dei ricercatori.

Dopo l’avvio, il dropper scarica silenziosamente uno script da un repository GitHub, decodificato durante l’esecuzione attraverso più livelli di Base64. Lo script recupera poi il payload finale, scritto in C++ nativo: una caratteristica che distingue CrashStealer da molti infostealer per Mac basati su AppleScript o wrapper Objective-C.

Il malware mostra quindi una finestra di autenticazione identica a quella di macOS e richiede la password dell’account. La verifica avviene mediante il comando legittimo dscl; il prompt continua a comparire finché non viene inserita la password corretta.

Ottenuta la credenziale, CrashStealer può sbloccare il Keychain di accesso, dove macOS conserva password, certificati e chiavi private. Raccoglie inoltre file dalle cartelle Documenti, Download e Scrivania, evitando cache, log e archivi pesanti, probabilmente per ridurre il peso dei dati sottratti e restare meno visibile.

Prima dell’invio a un server di comando e controllo, i dati vengono compressi in archivi ZIP nascosti e cifrati con AES-256-GCM. Per mantenersi sul dispositivo, il malware si copia in una cartella nascosta della libreria utente e crea un LaunchAgent eseguito a ogni accesso.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

Secondo Jamf, CrashStealer condivide finalità con famiglie già note come Atomic (AMOS) e MacSync, ma adotta implementazione C++ e cifratura lato client. Queste scelte rendono più complessa l’analisi forense dei file rubati.

Revoca della firma e controlli consigliati

Apple ha revocato le credenziali di firma associate all’app malevola dopo la condivisione dell’analisi di Jamf con il team di sicurezza dell’azienda. La revoca blocca quella specifica modalità di distribuzione, ma non rimuove automaticamente eventuali copie già presenti sui Mac colpiti.

Un controllo utile riguarda Login Items e la presenza del LaunchAgent com.apple.crashreporter.helper, che non appartiene al sistema operativo originale. In caso di sospetta compromissione, non va riavviata l’app sospetta: occorre eseguire una scansione aggiornata, cambiare le password da un dispositivo pulito e revocare le sessioni dei servizi sensibili.

La vicenda conferma una tendenza già osservata anche da MisterGadget.Tech: gli infostealer per Mac aumentano per numero e sofisticazione, mirando in particolare a credenziali e wallet crypto.

FAQ

CrashStealer può infettare un Mac automaticamente?

No. L’utente deve scaricare e avviare manualmente l’app Werkbit: la minaccia non è descritta come attacco zero-click.

Quale app viene usata per distribuire CrashStealer?

Sì. Il dropper è distribuito come immagine disco denominata Werkbit Setup, presentata come applicazione di collaborazione o meeting.

Quale elemento può rivelare l’infezione?

Sì. La presenza del LaunchAgent com.apple.crashreporter.helper in Login Items è un indicatore, poiché non fa parte di macOS.

Apple ha bloccato il certificato del malware?

Sì. Apple ha revocato le credenziali di firma usate dal dropper dopo l’analisi condivisa da Jamf Threat Labs.

Come è stato verificato questo contenuto?

Sì. Il contenuto nasce da un’analisi approfondita e da una verifica incrociata condotta dalla nostra Redazione su numerose fonti, tra cui MisterGadget.Tech.

Redazione Assodigitale Avatar

Redazione Assodigitale

La Redazione di Assodigitale

Il team editoriale di Assodigitale coordina la pubblicazione di notizie, analisi e approfondimenti quotidiani dal mondo dell'innovazione, della tecnologia e dei mercati digitali.

Questo account raccoglie i contributi storici della testata, i comunicati stampa certificati e le inchieste collettive curate dai nostri giornalisti e analisti.

Fondata per esplorare l'impatto della trasformazione digitale sulla società e sull'economia, la Redazione di Assodigitale si impegna a fornire un'informazione accurata, indipendente e verificata, seguendo rigorosi standard deontologici e di fact-checking per garantire ai lettori una visione chiara ed esperta del futuro tecnologico."

Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

Areas of Expertise: Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing